ช่วงสัปดาห์ที่ผ่านมามีปฏิบัติการขโมยรหัสผ่าน Apple ID ผ่านมัลแวร์ที่แฝงตัวมากับแอพเจลเบรกบน Cydia ซึ่งตอนนี้ก็ยังมีผู้ติดร่างแหอยู่เรื่อยๆ ล่าสุดมีนักวิจัยเกี่ยวกับความปลอดภัยออกมาอธิบายการทำงานของมัลแวร์ตัวนี้แล้ว

ย้อนความเกี่ยวกับมัลแวร์ตัวนี้ถูกเรียกว่า "Unflod" ถูกค้นพบโดยผู้ใช้ Reddit ที่รู้สึกว่าเครื่องที่ใช้มีอาการแอพเด้งหลังจากลงแอพเจลเบรกบางตัวใน Cydia จนไปพบกับ Unflod ที่แฝงตัวเข้ามาเป็นหนึ่งในส่วนเสริมของ Mobile Substrate (เฟรมเวิร์คสำหรับรันแอพบน Cydia) ในรูปแบบของไลบราลีชื่อว่า Unflod.dylib หลังจากนั้นไม่นานก็มีคนไปพบกับไลบราลีอีกตัวที่ชื่อว่า framework.dylib ซึ่งทำงานคล้ายกัน ในชื่อที่ต่างกันเท่านั้น

กูเกิลมีมาตรการด้านความปลอดภัยหลายอย่างให้กับแพลตฟอร์ม Android (ข่าวเก่า: กูเกิลบอกมีมัลแวร์ Android เพียง 0.001% เท่านั้นที่หลุดระบบป้องกันและอาจเกิดอันตราย, รายละเอียดสถาปัตยกรรมความปลอดภัยของแพลตฟอร์ม Android)

ฟีเจอร์ที่น่าสนใจอันหนึ่งคือ Verify Apps ที่ถูกเพิ่มเข้ามาตั้งแต่เวอร์ชัน 4.2 โดยเมื่อเปิดใช้แล้วกูเกิลจะสแกนแอพที่ติดตั้งเข้ามาในเครื่อง (ไม่ว่าจะลงผ่าน Play Store หรือไม่) ว่ามีมัลแวร์หรือไม่ ปัจจุบันฟีเจอร์นี้ถูกใช้ตรวจสอบแอพไปแล้วกว่า 4 พันล้านครั้ง

ไม่แปลกสำหรับระบบปฏิบัติการที่มีผู้ใช้มากที่สุดในโลก ย่อมเป็นเป้าหมายหลักของผู้ไม่หวังดี โดยปีที่แล้ว ระบบปฏิบัติการแอนดรอยด์มีสัดส่วนของมัลแวร์มากที่สุดถึง 97% ในขณะที่อีก 3% ไม่ได้มาจาก iOS, Blackberry OS หรือ Window Phone แต่กลับเป็น Symbian OS

อย่างไรก็ดี ตัวเลขดังกล่าวเป็นเพียงจำนวนของมัลแวร์ที่รันบนระบบปฏิบัติการแอนดรอยด์ ไม่ได้หมายความว่า มัลแวร์เหล่านั้นมีที่มาจาก Play Store เพราะ Play Store มีสัดส่วนของมัลแวร์บนแอนดรอยด์เพียง 0.1% เท่านั้น อีก 99.9% ที่เหลือมาจาก store เถื่อนต่างๆ

Symantec ออกรายงานวิเคราะห์มัลแวร์กลุ่มที่เข้ารหัสข้อมูลผู้ใช้เพื่อเรียกเป็นตัวประกัน (Ransomware) ตัวที่ระบาดก่อนหน้านี้คือ Cryptolocker ตอนนี้มีรายงานมัลแวร์ในกลุ่มเดียวกันตัวใหม่คือ CryptoDefence ที่พัฒนาขึ้นมามาก

CryptoDefence จะถูกส่งไปยังเครื่องของเหยื่อผ่านทางสแปมเมล เมื่อติดลงในเครื่องแล้วมัลแวร์จะเริ่มส่งข้อมูลเครื่องของเหยื่อกลับไปยังเซิร์ฟเวอร์ สร้างคู่กุญแจ RSA-2048 แล้วส่งกุญแจลับกลับไปยังเซิร์ฟเวอร์พร้อมสกรีนชอตของเหยื่อ

บริษัทความปลอดภัย Trend Micro รายงานว่าพบมัลแวร์บนแอนดรอยด์ตระกูลใหม่ชื่อ ANDROIDOS_KAGECOIN.HBT ที่ไม่ทำอันตรายแก่ผู้ใช้งานโดยตรง แต่แอบใช้ "พลังประมวลผล" บนมือถือที่ติดมัลแวร์ทำการ "ขุด" สกุลเงินเสมือนทั้งหลาย ไม่ว่าจะเป็น Bitcoin, Litecoin, Dogecoin

มัลแวร์เหล่านี้จะปลอมตัวเป็นแอพที่มีชื่อเสียงแล้วหลอกให้ผู้ใช้งานโหลดแอพผิดตัว (หลักฐานที่พบมี 2 แอพคือ Football Manager Handheld และ TuneIn Radio) แต่ในแอพจริงๆ จะมีโค้ดสำหรับการขุดโดยก็อปปี้มาจากแอพขุดสกุลเงิน (ที่เป็นแอพจริง) บนแอนดรอยด์อีกทีหนึ่ง

นักวิจัยจาก ESET ร่วมกับ CERT-Bund เปิดโปงปฏิบัติการที่มีชื่อว่า WINDIGO ซึ่งเป็นปฏิบัติการในการโจมตีที่คอมพิวเตอร์ส่วนบุคคลและเซิร์ฟเวอร์เพื่อทำการสแปมและแพร่กระจายต่อไปเรื่อยๆ ในตอนนี้ทาง ESET คาดการณ์ว่ามีคอมพิวเตอร์ที่ติดมัลแวร์ตัวนี้แล้ววันละกว่า 5 แสนเครื่องผ่านทาง 25,000 เซิร์ฟเวอร์ที่ถูกโจมตีก่อนหน้าเพื่อใช้ในการแพร่กระจาย

WINDIGO ถูกระบุว่าเริ่มทำการโจมตีตั้งแต่ปี 2011 โดยมีเว็บไซต์ใหญ่ๆ ที่แพร่กระจายมัลแวร์ตัวนี้อยู่ด้วย เช่น cPanel.net หรือแม้กระทั่ง Kernel.org โดยตัวมัลแวร์ประกอบด้วยสามส่วนแบ่งเป็นส่วนที่ใช้ในการโจมตีและขโมยข้อมูลที่ใช้ใน OpenSSH, ส่วนที่ใช้ในควบคุมทราฟิกของเว็บและสคริปต์ที่ใช้ในการส่งสแปม

บริษัทความปลอดภัย Lookout Security รายงานมัลแวร์สายพันธุ์ใหม่ที่มีชื่อว่า Dendroid

Dendroid ไม่ใช่ชื่อของมัลแวร์โดยตรง แต่เป็นชุดคิตสำหรับสร้างมัลแวร์ที่ฝังแล้วควบคุมได้จากระยะไกล (Remote Access Toolkit หรือ RAT) ขายในตลาดมืดราคาชุดละ 300 ดอลลาร์ โดยโฆษณามัลแวร์ที่สร้างจากชุด Dendroid สามารถเข้าถึงกล้องของโทรศัพท์เพื่อถ่ายภาพ/วิดีโอ ดาวน์โหลดภาพในเครื่อง บันทึกการสนทนา และส่งข้อความ SMS ได้

รายงานจากบริษัทความปลอดภัย ESET รายงานว่าพวกเขาพบมัลแวร์ OSX/CoinThief.A ซึ่งตอนนี้ซ่อนตัวอยู่ภายในแอพเถื่อนยอดนิยมอย่าง Angry Birds, Pixelmator, BBEdit และ Delicious Library

สำหรับขั้นตอนการขโมยเงินของ OSX/CoinThief.A นั้นจะทำโดยใช้วิธีติดตั้งเข้ามาเป็น add-on ในเว็บเบราว์เซอร์ของผู้ใช้ โดยมันจะคอยดึงข้อมูลล็อกอินเมื่อผู้ใช้เข้าใช้งานเว็บ MtGox, BTC-e และ block chain.info

Symantec รายงานมัลแวร์ตัวใหม่ Trojan.Droidpak ที่ทำงานบนระบบปฏิบัติการวินโดวส์ (ปลอมตัวเป็น DLL) เมื่อมันแฝงตัวบนเครื่องวินโดวส์แล้ว จะดาวน์โหลดไฟล์ .apk และเครื่องมืออย่าง Android Debug Bridge (ADB) เพื่อติดตั้งไฟล์ .apk ลงในอุปกรณ์แอนดรอยด์ถ้ามีโอกาส (เสียบแอนดรอยด์เข้ากับเครื่องวินโดวส์ที่ติดมัลแวร์)

มัลแวร์ที่ติดบนเครื่องแอนดรอยด์จะปลอมตัวเป็น Google Play โดยใช้ไอคอนเดียวกัน และใช้ชื่อคล้ายๆ กันคือ "Google App Store"

Symantec แนะนำให้เลี่ยงมัลแวร์ตัวนี้โดยปิดโหมด USB debugging ถ้าไม่ใช้งาน และติดตั้งซอฟต์แวร์ด้านความปลอดภัยของ Symantec ทั้งบนวินโดวส์และแอนดรอยด์

ผู้สร้างมัลแวร์ใช้เทคนิคใหม่ในการกระจายมัลแวร์ โดยใช้วิธี "ซื้อ" ความเป็นเจ้าของส่วนเสริมหรือ extension บางตัวของ Chrome (ที่มีช่องโหว่เพราะถูกอัพเดตไฟล์อัตโนมัติผ่าน Chrome) เมื่อความเป็นเจ้าของเปลี่ยนมือแล้ว เจ้าของใหม่ก็จะเริ่มฝังโค้ดโฆษณาและมัลแวร์ลงไปใน extension ตัวนั้นๆ

เว็บไซต์ Ars Technica พบว่า extension ที่เจอปัญหานี้มี 2 ตัวคือ Add to Feedly กับ Tweet This Page ซึ่งเดิมทีเป็น extension ปกติ แต่เมื่อเจ้าของเปลี่ยนมือ (โดยไม่มีใครทราบ เพราะชื่อบัญชีในระบบของ Chrome Web Store ยังเป็นชื่อเดิม) พฤติกรรมของ extension พวกนี้ก็เริ่มเปลี่ยนไป

Cisco ออกรายงานสรุปสถานการณ์ความปลอดภัยประจำปี 2013 โดยอ้างอิงสถิติจากผลิตภัณฑ์ด้านความปลอดภัยของบริษัทที่ทำงานอยู่ทั่วโลก

บริษัท IntelCrawler ผู้ให้บริการรักษาความปลอดภัยไอทีรายงานผลสอบสวนมัลแวร์ที่ใช้เจาะข้อมูลจากห้าง Target ว่ามีต้นตอมาจากมัลแวร์ที่มี "ขายในตลาด" ชื่อว่า BlackPOS โดยนักพัฒนาของมัลแวร์ตัวนี้น่าจะเป็นวัยรุ่นชาวรัสเซียอายุ 17 ปี

BlackPOS เคยอาละวาดในออสเตรเลียมาก่อนแล้วใช่ชื่อว่า Kapptoxa และคาดว่าในตอนนี้เองมัลแวร์ตัวนี้ยังติดตั้งอยู่ในห้างอื่นอีกหลายแห่งที่อาจจะยังไม่รู้ตัวหรือยังไม่เปิดเผยข้อมูล

ข้อมูลเพิ่มเติมเกี่ยวกับบทวิเคราะห์มัลแวร์อยู่ในที่มา เนื่องจากผู้พัฒนามัลแวร์เป็นเยาวชน ผมเตือนทุกท่านว่าห้ามโพสข้อมูลส่วนตัวของผู้พัฒนาในเว็บ Blognone นะครับ

ที่มา - IntelCrawler

จากกรณีของข่าวระบบอินเทอร์เน็ตทรูถูกโจมตี ฝังมัลแวร์ดักข้อมูลผู้ใช้งาน บริษัท ทรู อินเทอร์เน็ต จำกัด ได้ทำการชี้แจงผ่านทางทีมข่าวไอทีออนไลน์ของไทยรัฐว่า จากการตรวจสอบระบบแล้วยังไม่พบว่ามีการโจมตีแต่อย่างใด อีกทั้งยังสามารถใช้งานได้ตามปกติและไม่พบว่ามีลูกค้ารายใดประสบปัญหาในการใช้งานอย่างที่กล่าวอ้าง ซึ่งปัญหาในรูปแบบนี้นั้นที่ผ่านมามักเกิดจากการที่คอมพิวเตอร์ของผู้ใช้งานติดมัลแวร์ จึงก่อให้เกิดความผิดปกติดังกล่าว

ช่วงหลายเดือนที่ผ่านมามีการรายงานจากผู้ใช้อินเทอร์เน็ตทรูจำนวนหนึ่ง (1, 2, 3, 4, 5) ถึงปัญหาการถูกเปลี่ยนเส้นทางไปยังเว็บไซต์แปลกๆ รวมถึงการมีป๊อปอัพโฆษณาแสดงแบบผิดปกติเป็นระยะๆ ซึ่งได้มีการตรวจสอบโดยผู้ใช้จำนวนหนึ่ง จนในที่สุดก็ได้มีรายงานออกมาถึงปัญหาดังกล่าวโดย @_jacobfish แล้

บริษัทความปลอดภัย Fox IT จากเนเธอร์แลนด์ พบว่าโฆษณาบนหน้าเว็บ yahoo.com (ซึ่งมาจากโดเมน ads.yahoo.com ของยาฮูเอง) จำนวนหนึ่งติดมัลแวร์

เมื่อผู้ชมเข้าหน้าเว็บ yahoo.com และเห็นโฆษณาที่อยู่ในแท็ก iframe ซึ่งโฆษณาเหล่านี้จะถูก redirect ไปยังโดเมนที่ผู้ประสงค์ร้ายจดขึ้นมาใช้เพื่อการนี้ (โดเมนทั้งหมดมาจากหมายเลขไอพีเดียวกันในเนเธอร์แลนด์) จากนั้นผู้ชมจะโดนฝังมัลแวร์ที่อาศัยช่องโหว่ของ Java หลายตัว เช่น ZeuS, Andromeda, Dorkbot

Fox IT พบว่าการโจมตีชุดนี้เกิดขึ้นตั้งแต่วันที่ 30 ธันวาคม 2013 และเนื่องจาก yahoo.com เป็นเว็บไซต์ที่มีคนเข้าเยอะ อัตราการติดมัลแวร์น่าจะสูงมากเป็นหลัก "หลายแสนคน" โดยผู้ใช้ที่ได้รับผลกระทบมากอยู่ในโรมาเนีย สหราชอาณาจักร ฝรั่งเศส และปากีสถาน

มัลแวร์รูปแบบใหม่ที่ระบาดมากในช่วงหลังคือมัลแวร์แบบเรียกค่าไถ่ข้อมูล หรือ ransomware ที่เข้ารหัสข้อมูลในเครื่องแล้วแจ้งให้จ่ายเงินเพื่อขอรหัสผ่านมาปลดล็อกไฟล์ในเครื่อง

ก่อนหน้านี้มัลแวร์เหล่านี้มักใช้กระบวนการที่อ่อนแอ มัลแวร์บางตัวใช้กุญแจเข้ารหัสเดิมเสมอ ทำให้สามารถหากุญแจมาถอดรหัสได้ตามอินเทอร์เน็ต บางตัวอาจจะใช้กุญแจขนาดเล็ก ทำให้ถอดรหัสได้ง่าย หลายตัวติดต่อเซิร์ฟเวอร์เดิมตลอดเวลา

Adrian Ludwig หัวหน้าฝ่ายความปลอดภัยของ Android ไปพูดที่งาน Virus Bulletin ที่เยอรมนี และเผยสถิติด้านความปลอดภัยที่น่าสนใจของ Android หลายอย่าง

Ludwig บอกว่าสภาพแวดล้อมแบบเปิดของ Android ไม่สามารถใช้วิธีป้องกันมัลแวร์แบบก่อกำแพงกั้น (walled garden) แบบเดียวกับคู่แข่งได้ แต่วิธีที่กูเกิลใช้จะเหมือนกับการป้องกันโรคระบาดของวงการสาธารณสุขมากกว่า โดยแนวคิดของการป้องกันโรคระบาดคือไม่สามารถปิดกั้นโรคทั้งหมดได้ 100% แต่จะใช้วิธีเฝ้าระวังจากข้อมูล เมื่อพบโรคเริ่มระบาดก็จะสกัดกั้นไม่ให้เกิดการระบาดในวงกว้างแทน

นักวิจัยของ Kaspersky ค้นพบว่ามีมัลแวร์หลายตัวถูกควบคุมและสั่งการผ่าน Google Cloud Messaging ระบบรับ-ส่งข้อความสำหรับแอพของ Android

Google Cloud Messaging หรือที่เรียกโดยย่อว่า GCM เป็นระบบรับ-ส่งข้อความที่ให้บริการโดย Google เพื่อให้นักพัฒนาแอพสามารถสั่งการให้แอพบนอุปกรณ์ Android สามารถส่งข้อความออกได้และรับข้อความต่างๆ เข้าสู่อุปกรณ์ได้ด้วยเช่นกัน

ตัวอย่างเช่น นักพัฒนาสามารถส่งข้อความที่มีขนาดข้อมูล 4KB ไปสู่แอพของตนที่อยู่บนอุปกรณ์ Android ทุกเครื่องได้ โดยการส่งข้อความนั้นผ่านเครื่องเซิร์ฟเวอร์ของ Google ที่ติดตั้ง GCM เอาไว้ ซึ่งข้อความที่ GCM อนุญาตให้ส่งได้นั้น อาจมีองค์ประกอบเป็นลิงก์, ข้อความโฆษณา หรือคำสั่งอื่นใด

หลังจากที่มีข่าวเรื่องช่องโหว่ใน Android ที่เครื่อง 99% ได้รับผลกระทบ ซึ่งทาง Google ออกมาบอกว่าได้อุดช่องโหว่นี้ใน Play Store พร้อมกับส่งแพทช์ให้ทางผู้ผลิตแล้ว ผู้ใช้ Android รุ่นที่ถูกลอยแพต่างก็ฝากความหวังไว้กับ Play Store ว่าจะสามารถช่วยให้อยู่รอดปลอดภัยได้

วันนี้ความฝันนั้นได้พังทลายลงแล้ว เมื่อทาง Bitdefender พบว่ามีแอพพลิเคชัน 2 ตัวที่ใช้เทคนิคการโจมตีผ่านช่องโหว่นี้ปรากฎอยู่บน Play Store ซึ่งแอพพลิเคชันทั้ง 2 ตัวที่ว่านี้มีผู้ดาวน์โหลดไปแล้วประมาณ 10,000 - 50,000 คน

มีรายงานในวงการความปลอดภัยว่ากลุ่มแฮกเกอร์จีนชื่อ DNSCalc ซึ่งมีสมาชิกประมาณ 20 ราย (และเคยมีผลงานโจมตีเว็บ The New York Times) หันเป้าหมายมาโจมตีภาครัฐของอาเซียนแทน

กระบวนการของ DNSCalc จะใช้วิธีอัพโหลดไฟล์ .ZIP ชื่อที่เกี่ยวข้องกับ U.S.-ASEAN Business Council ลงใน Dropbox และแชร์ไฟล์ไปยังคนหรือหน่วยงานภาครัฐของอาเซียนแล้วหลอกว่าควรสนใจเอกสารชิ้นนี้ (เป็น phising แบบหนึ่ง) เมื่อเหยื่อดาวน์โหลดไฟล์มาขยายจะพบไฟล์ PDF และมัลแวร์ที่จะแอบฝังอยู่ในเครื่องของเรา

มัลแวร์ตัวนี้จะส่งข้อมูลไปยังบล็อกบนระบบ WordPress ของแฮกเกอร์ และส่งข้อมูลหมายเลข IP รวมทั้งเบอร์พอร์ตกลับไปยังต้นทาง

กูเกิลเพิ่มรายงานปริมาณมัลแวร์และเว็บฟิชชิ่งเข้าใน Transparency Report หรือรายงานความโปร่งใสของบริษัท

รายงานนี้จะอยู่ในหัวข้อ Safe Browsing แยกออกจาก หัวข้อ Traffic รายงานการเข้าถึงกูเกิลซึ่งอาจจะสะท้อนการบล็อกเว็บของรัฐบาล, Removal Requests รายงานการขอลบข้อมูลออกจากกูเกิล, และ User Data Requests การขอข้อมูลผู้ใช้โดยรัฐบาล

บริษัทความปลอดภัย Lookout เผยข้อมูลของมัลแวร์ตัวใหม่ชื่อ "BadNews" บนแพลตฟอร์ม Android ซึ่งประเมินว่ามีคนโหลดแอพที่ฝัง BadNews ไปแล้ว 2-9 ล้านครั้ง โดยส่วนใหญ่อยู่ในรัสเซียและกลุ่มประเทศในเครือโซเวียตเก่า

ความน่าสนใจของ BadNews อยู่ที่ผู้สร้างมัลแวร์นั้นสร้าง "เครือข่ายโฆษณาบนมือถือ" (ลักษณะเดียวกับ AdMob หรือ iAd) ที่ทำงานได้จริงๆ และเชิญชวนให้ผู้สร้างแอพหันมาแปะโฆษณาของตัวเอง ทำให้การส่งแอพขึ้น Google Play ตรวจไม่พบโค้ดของมัลแวร์เพราะตอนแรก BadNews แปะมาแต่โฆษณาตามอย่างแอพทั่วไป

Symantec ได้ค้นพบหลักฐานใหม่ที่เชื่อมโยงกับข้อมูลของมัลแวร์ Stuxnet ว่าข้อมูลล่าสุดเบื้องต้นนั้น Stuxnet เวอร์ชัน 1.001 ถูกสร้างขึ้นในปี 2009 แต่หลักฐานใหม่พบว่า Stuxnet เคยมีเวอร์ชัน 0.5 ในช่วงปี 2007-2009 ดังนั้นการพัฒนามัลแวร์ตัวนี้น่าจะมาก่อนปี 2007 เสียอีก

หน่วยงาน Information Technology Promotion Agency (IPA) ของรัฐบาลญี่ปุ่นประกาศแจ้งเตือนให้ผู้ที่ใช้งานระบบปฏิบัติการ Android เปลี่ยนไปติดตั้งแอพพลิเคชันจาก Store ของโอเปอเรเตอร์ในญี่ปุ่นแทนที่จะเป็น Google Play

เนื่องจาก IPA พบว่ามีแอพพลิเคชั่นชื่อ "sexy porn model wallpaper" อยู่ใน Google Play Store ตั้งแต่วันศุกร์ที่ 1 มีนาคม และมีคนดาวน์โหลดไปติดตั้งกว่า 500,000 คนก่อนที่แอพพลิเคชั่นนี้จะถูกลบออกไปในเวลาต่อมา โดยแอพพลิเคชันดังกล่าวนี้จะแอบส่งข้อมูลส่วนตัวของผู้ใช้งาน เช่น หมายเลข IMEI ของโทรศัพท์มือถือ ตำแหน่งที่อยู่ หรืออีเมล ไปยังเซิร์ฟเวอร์ของผู้ไม่หวังดี

ไมโครซอฟท์ออกแถลงยืนยันว่าบริษัทเป็นเหยื่อของการแฮ็กผ่านช่องโหว่เดียวกับเฟซบุ๊กและแอปเปิล โดยคอมพิวเตอร์จำนวนหนึ่งรวมถึงคอมพิวเตอร์ในส่วนธุรกิจแมคติดมัลแวร์ที่อาศัยช่องโหว่ของ Java sandbox เช่นเดียวกับรายอื่นๆ

ไมโครซอฟท์กำลังตรวจสอบความเสียหาย แต่ระหว่างนี้ยังไม่มีหลักฐานใดๆ แสดงว่ามีข้อมูลลูกค้าหลุดออกไปกับมัลแวร์นี้

ที่มา - TechNet