Zimperium ป้องกันการโจรกรรมข้อมูล SMS จาก “Tria Stealer” malware

Articles

Kaspersky ได้รายงานล่าสุดเกี่ยวกับ Tria Stealer ซึ่งเป็นมัลแวร์ Android ที่เพิ่งถูกค้นพบ ออกแบบมาเพื่อเก็บรวบรวมและขโมยข้อมูล SMS โดยการดักจับข้อความ SMS มัลแวร์นี้สามารถเข้าถึงรหัสยืนยันตัวตน การสื่อสารส่วนตัว และข้อมูลทางการเงิน ซึ่งถือเป็นภัยคุกคามร้ายแรงต่อความเป็นส่วนตัวและความปลอดภัยของผู้ใช้ โดยผู้โจมตีมักใช้ข้อมูล SMS เพื่อเข้าควบคุมบัญชี สร้างการฉ้อโกง และกระจายมัลแวร์เพิ่มเติม รายงานฉบับดั้งเดิมระบุว่ามีตัวอย่างมัลแวร์ทั้งหมด 16 ตัวเป็นส่วนหนึ่งของ IOCs (Indicators of Compromise) โดยจากจำนวนดังกล่าว 2 ตัวไม่สามารถหาได้ในอุตสาหกรรม ในขณะที่อีก 14 ตัวถูกตรวจพบโดย Mobile Threat Defense (MTD) ของ Zimperium ด้วยความแม่นยำสูงในรูปแบบ zero-day ซึ่งแสดงให้เห็นถึงประสิทธิภาพของความสามารถในการเรียนรู้ของเครื่อง (machine learning) ที่ใช้งานบนอุปกรณ์ของเรา Overview of the Tria Stealer campaign นอกจากนี้ Zimperium ยังสามารถระบุและบล็อก Tria…

รายงานภัยคุกคามอุปกรณ์มือถือจากทั่วโลกในปี 2024

Articles

รายงานภัยคุกคามมือถือทั่วโลกปี 2024 จาก Zimperium ได้นำเสนอแนวโน้มที่ส่งผลต่อภูมิทัศน์ (Landscape) ความปลอดภัยของอุปกรณ์มือถือในปีที่ผ่านมา พร้อมทั้งวิเคราะห์งานวิจัยจากทีม zLabs ของ Zimperium การเติบโตอย่างก้าวกระโดดของอุปกรณ์เคลื่อนที่ เช่น โทรศัพท์มือถือและแท็บเล็ต ที่สามารถเข้าถึงแอปพลิเคชันและข้อมูลสำคัญทางธุรกิจได้ ส่งผลให้พนักงานและองค์กรทั่วโลกมีประสิทธิภาพและความสามารถในการทำงานเพิ่มขึ้น อย่างไรก็ตาม มีหลักฐานแสดงให้เห็นว่ามาตรการควบคุมความปลอดภัยและนโยบายต่างๆ ยังไม่ทันต่อภัยคุกคามที่กำลังพัฒนาอย่างรวดเร็ว จากการศึกษาล่าสุด พบว่า กว่า 54% ขององค์กรเคยประสบกับการละเมิดข้อมูล เนื่องจากพนักงานเข้าถึงข้อมูลสำคัญและข้อมูลลับบนอุปกรณ์มือถือโดยไม่เหมาะสม ดูเหมือนว่าอาชญากรไซเบอร์และผู้ไม่หวังดีอื่นๆ จะมองเห็นโอกาสในสภาพแวดล้อมที่เน้นการใช้อุปกรณ์เคลื่อนที่มากขึ้นในยุคปัจจุบัน 82% ขององค์กรอนุญาตให้ใช้อุปกรณ์ส่วนตัวในการทำงาน (BYOD – Bring Your Own Device) องค์กรยังคงพยายามหาสมดุลระหว่างนโยบายการใช้อุปกรณ์ส่วนตัวในการทำงาน (BYOD – Bring Your Own Device) และนโยบายการใช้อุปกรณ์ขององค์กรที่อนุญาตให้ใช้งานส่วนตัวได้ (COPE – Corporate-Owned, Personally Enabled) จากข้อมูลของ Samsung พบว่า ประมาณ 15% ของธุรกิจจัดหาอุปกรณ์มือถือให้กับพนักงานทุกคน ขณะที่…

Toxicpanda Malware ที่กำหนดเป้าหมายการโจมตีไปที่แอพธนาคารบนอุปกรณ์ Android

News

มัลแวร์ Android ใหม่ที่ชื่อว่า“ Toxicpanda” ถูกพบเมื่อปลายเดือนตุลาคม 2024 และอยู่ในตระกูล Tgtoxic เนื่องจากคำสั่งบอทที่คล้ายกัน   อย่างไรก็ตามการวิเคราะห์เชิงลึกโดยทีมข่าวกรองภัยคุกคามของ Cleafy เปิดเผยความแตกต่างของ Code ที่สำคัญซึ่งนำไปสู่การจัดประเภทใหม่เป็นภัยคุกคามที่แตกต่าง ข้อแตกต่างจาก TGTOXIC คือ ToxicPanda นั้นขาดคุณสมบัติขั้นสูงบางอย่างเช่นระบบ Automatic Transfer System (ATS) ซึ่งเป็นการลดความซับซ้อนทางเทคนิค แต่มันมีความเสี่ยงที่สำคัญเนื่องจากศักยภาพในการ Account Takeover (ATO) ผ่าน On-Device Fraud (ODF) บนอุปกรณ์ที่ติด Malware   การแพร่กระจายและการกำหนดเป้าหมายทางภูมิศาสตร์   จากข้อมูลของ Cleafy นั้น Toxicpanda ตั้งเป้าไปที่ธนาคารรายย่อยบนอุปกรณ์ Android เป็นหลัก มัลแวร์ได้แพร่กระจายใน อิตาลีโปรตุเกส สเปน และภูมิภาคละติน-อเมริกันบางส่วน โดยอิตาลีมีการติดมัลแวร์มากกว่า 50% อุปกรณ์กว่า 1,500 เครื่องถูกบุกรุก ผ่านการเข้าถึงระยะไกลโดย…

นักพัฒนาต้องระวัง กลุ่ม Lazarus ใช้การ Coding Tests ปลอมเพื่อแพร่กระจาย Malware

News

สมาชิกของกลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือ Lazarus ที่สวมรอยเป็นผู้สรรหากำลังหลอกล่อนักพัฒนา Python ด้วยโครงการ Coding Tests สำหรับผลิตภัณฑ์ Password management ที่รวมมัลแวร์เข้าไปด้วย   การโจมตีดังกล่าวเป็นส่วนหนึ่งของ ‘แคมเปญ VMConnect’ ซึ่งตรวจพบครั้งแรกในเดือนสิงหาคม 2023 โดยที่ผู้คุกคามมุ่งเป้าไปที่นักพัฒนาซอฟต์แวร์ด้วยแพ็คเกจ Python ที่เป็นอันตรายซึ่งอัปโหลดไปยังที่เก็บ PyPI ตามรายงานจาก ReversingLabs ซึ่งติดตามแคมเปญมานานกว่าหนึ่งปี แฮกเกอร์ Lazarus เป็นเจ้าภาพโครงการเขียนโค้ดที่เป็นอันตรายบน GitHub ซึ่งเหยื่อจะค้นหาไฟล์ README พร้อมคำแนะนำเกี่ยวกับวิธีการทดสอบ คำแนะนำเหล่านี้มีไว้เพื่อสร้างความรู้สึกถึงความเป็นมืออาชีพ และความถูกต้องตามกฎหมายให้กับกระบวนการทั้งหมด รวมถึงความรู้สึกเร่งด่วนด้วย   ReversingLabs พบว่าชาวเกาหลีเหนือปลอมตัวเป็นธนาคารใหญ่ของสหรัฐฯ เช่น Capital One เพื่อดึงดูดผู้สมัครงาน โดยมีแนวโน้มว่าจะเสนอแพ็คเกจการจ้างงานที่น่าดึงดูดใจให้กับพวกเขา หลักฐานเพิ่มเติมที่ได้รับจากเหยื่อรายหนึ่งชี้ให้เห็นว่า Lazarus เข้าหาเป้าหมายผ่านทาง LinkedIn ซึ่งเป็นกลยุทธ์ที่มีการบันทึกไว้ของกลุ่ม   ค้นหาจุดบกพร่อง แฮกเกอร์แนะนำให้ผู้สมัครค้นหาจุดบกพร่องในแอปพลิเคชันตัวจัดการรหัสผ่าน ส่งการแก้ไข และแบ่งปันภาพหน้าจอเป็นหลักฐานการทำงานของตน  ไฟล์โครงการ ที่มา: ReversingLabs…

บริษัทด้านความปลอดภัยไซเบอร์ พบ “เซิร์ฟเวอร์ไทย” ต้นตอภัยไซเบอร์ไตรมาส 2 ขยายตัวโดยมีเหตุการณ์โจมตีเกือบ 2 แสนครั้ง

News

เปิดตัวเลข เหตุการณ์อันตรายทางไซเบอร์ที่เกิดจากเซิร์ฟเวอร์ที่โฮสต์อยู่ในประเทศไทยเพิ่มขึ้นอย่างมาก ในไตรมาสที่ 2 ของปี 2024 แคสเปอร์สกี้ตรวจพบเหตุการณ์โจมตี 196,078 ครั้ง ซึ่งเพิ่มขึ้นมากถึง 203.48% เมื่อเทียบกับไตรมาส 2 ของปีที่แล้ว ซึ่งพบเหตุการณ์ 64,609 ครั้ง   แคสเปอร์สกี (kasperky) เผยตัวเลขเหตุการณ์อันตรายทางไซเบอร์ที่เกิดจากเซิร์ฟเวอร์ที่โฮสต์ตั้งอยู่ในประเทศไทย มีตัวเลขเพิ่มขึ้นอย่างมากในไตรมาสที่ 2 ของปี 2024 (เมษายน – มิถุนายน) โดยแคสเปอร์สกี้ตรวจพบเหตุการณ์โจมตีทางไซเบอร์ทั้งหมด 196,078 ครั้ง เพิ่มขึ้นมาจากไตรมาส 2 ของปีที่แล้ว ที่พบอยู่ที่ 64,609 ครั้ง คิดเป็นเพิ่มขึ้นกว่า 203.48% ตัวเลขนี้ยังเพิ่มขึ้นจาก ไตรมาสที่ 1 ของปี 2024 (มกราคม – มีนาคม) มีการตรวจพบยอดโจมตีอยู่ที่ 157,935 ครั้ง เมื่อเทียบกับไตรมาสที่ 2 เพิ่มเป็น 24.15%  …

มัลแวร์ใหม่ “Voldemort” ใช้ Google Sheets ในการขโมยข้อมูลจากเหยื่อ

News

แคมเปญมัลแวร์ใหม่กำลังแพร่กระจายเป็น Backdoor ที่ห้ามเอ่ยนามชื่อ “Voldemort” ไปยังองค์กรต่างๆ ทั่วโลก โดยแอบอ้างเป็นหน่วยงานด้านภาษีจากสหรัฐอเมริกา ยุโรป และเอเชีย ตามรายงานของ Proofpoint แคมเปญดังกล่าวเริ่มต้นเมื่อวันที่ 5 สิงหาคม 2024 และส่งอีเมลไปแล้วกว่า 20,000 ฉบับไปยังองค์กรเป้าหมายกว่า 70 แห่ง โดยส่งอีเมลไปถึง 6,000 ฉบับในวันเดียวในช่วงที่มีการโจมตีสูงสุด   องค์กรเป้าหมายมากกว่าครึ่งหนึ่งอยู่ในภาคการประกันภัย อวกาศ การขนส่ง และการศึกษา ยังไม่เป็นที่ทราบแน่ชัดเกี่ยวกับผู้ก่อภัยคุกคามที่อยู่เบื้องหลังแคมเปญนี้ แต่ Proofpoint เชื่อว่าเป้าหมายที่น่าจะเป็นไปได้มากที่สุดคือการดำเนินการจารกรรมทางไซเบอร์ การโจมตีนี้คล้ายกับสิ่งที่ Proofpoint อธิบายไว้เมื่อต้นเดือน แต่เกี่ยวข้องกับมัลแวร์ชนิดอื่นในขั้นตอนสุดท้าย   การแอบอ้างเป็นเจ้าหน้าที่ด้านภาษี รายงานใหม่ของ Proofpoint ระบุว่าผู้โจมตีกำลังสร้างอีเมลฟิชชิ่งเพื่อระบุตำแหน่งขององค์กรเป้าหมายโดยอ้างอิงจากข้อมูลสาธารณะ อีเมลฟิชชิ่งดังกล่าวแอบอ้างเป็นเจ้าหน้าที่ด้านภาษีจากประเทศขององค์กร โดยระบุว่ามีข้อมูลภาษีที่อัปเดตแล้วและมีลิงก์ไปยังเอกสารที่เกี่ยวข้อง ตัวอย่างอีเมลที่ใช้ในการโจมตี ที่มา: Proofpoint การคลิกลิงก์จะพาผู้รับไปยังหน้าปลายทางที่โฮสต์บน InfinityFree ซึ่งใช้ URL ของ Google AMP Cache เพื่อเปลี่ยนเส้นทางเหยื่อไปยังหน้าที่มีปุ่ม…

“NGate” มัลแวร์ Android ตัวใหม่ขโมยข้อมูล NFC เพื่อโคลนบัตร Contactless

News

นักวิจัยด้านความปลอดภัยไซเบอร์ได้พบมัลแวร์ใหม่สำหรับโจมตี Android ที่สามารถส่งต่อข้อมูลจากบัตร Contactless ของเหยื่อจากบัตรเครดิตและบัตรเดบิตไปยังอุปกรณ์ที่ผู้โจมตีควบคุมโดยมีเป้าหมายเพื่อทำการการฉ้อโกง บริษัทด้านความปลอดภัยไซเบอร์ของสโลวาเกียกำลังติดตามมัลแวร์ใหม่ที่มีชื่อว่า NGate โดยระบุว่าบริษัทได้สังเกตเห็นแคมเปญอาชญากรรมที่กำหนดเป้าหมายเป็นธนาคารสามแห่งในสาธารณรัฐเช็ก   มัลแวร์ “มีความสามารถพิเศษในการส่งต่อข้อมูลจากบัตร Contactless ของเหยื่อผ่านแอปที่เป็นอันตรายที่ติดตั้งบนอุปกรณ์ Android ของเหยื่อไปยังโทรศัพท์ Android ที่ถูกรูทของผู้โจมตี” นักวิจัย Lukáš Štefanko และ Jakub Osmani กล่าวในการวิเคราะห์ วิธีการดังกล่าวเป็นส่วนหนึ่งของแคมเปญที่กำหนดเป้าหมายเป็นสถาบันการเงินในสาธารณรัฐเช็กตั้งแต่เดือนพฤศจิกายน 2023 โดยใช้ Progressive Web Apps ที่เป็นอันตราย (PWA) และ WebAPK การใช้ NGate ครั้งแรกที่บันทึกไว้คือในเดือนมีนาคม 2024 เป้าหมายของการโจมตีคือการโคลนข้อมูล Near-Field Communication (NFC) จากบัตร Contactless ของเหยื่อโดยใช้ NGate และส่งข้อมูลดังกล่าวไปยังอุปกรณ์ของผู้โจมตีซึ่งจะเลียนแบบบัตรเดิมเพื่อถอนเงินจากตู้ ATM   NGate มีรากฐานมาจากเครื่องมือที่ถูกกฎหมายชื่อว่า NFCGate ซึ่งพัฒนาขึ้นครั้งแรกในปี 2015 เพื่อวัตถุประสงค์ในการวิจัยด้านความปลอดภัยโดยนักศึกษาจากห้องปฏิบัติการ…

มัลแวร์ใหม่ TodoSwift โจมตี macOS มีความเชื่อมโยงกับกลุ่มแฮกเกอร์ชาวเกาหลีเหนือ

News

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้พบมัลแวร์สายพันธุ์ใหม่ใน macOS ชื่อว่า TodoSwift พวกเขาอ้างว่ามีลักษณะร่วมกันกับซอฟต์แวร์อันตรายที่รู้จักซึ่งกลุ่มแฮกเกอร์ในเกาหลีเหนือใช้   Christopher Lopez นักวิจัยด้านความปลอดภัยของ Kandji กล่าวว่า “แอปพลิเคชันนี้มีพฤติกรรมหลายอย่างที่คล้ายกับมัลแวร์ที่เราพบเห็นซึ่งมีต้นกำเนิดในเกาหลีเหนือ (DPRK) โดยเฉพาะตัวการคุกคามที่รู้จักกันในชื่อ BlueNoroff เช่น KANDYKORN และ RustBucket” RustBucket ซึ่งเปิดตัวครั้งแรกในเดือนกรกฎาคม 2023 หมายถึงAppleScript-based backdoor ซึ่งสามารถดึง Next-stage payloads จาก Command-and-control (C2) server ได้   ปลายปีที่แล้ว Elastic Security Labs ยังได้ค้นพบมัลแวร์ของ macOS อีกตัวหนึ่งที่มีชื่อว่า KANDYKORN ซึ่งถูกนำไปใช้ในการโจมตีทางไซเบอร์ที่กำหนดเป้าหมายไปที่วิศวกรบล็อคเชนของ Unnamed cryptocurrency exchange platform ซึ่ง KANDYKORN เป็นระบบที่ส่งผ่านการติดเชื้อหลายขั้นตอนที่ซับซ้อน จึงมีความสามารถในการเข้าถึงและขโมยข้อมูลจากคอมพิวเตอร์ของเหยื่อ นอกจากนี้ยังออกแบบมาเพื่อยุติกระบวนการตามอำเภอใจและดำเนินการคำสั่งบนโฮสต์อีกด้วย ลักษณะทั่วไปที่เชื่อมโยงตระกูลมัลแวร์ทั้งสองเข้าด้วยกันคือการใช้โดเมน linkpc[.]net เพื่อวัตถุประสงค์ C2…

แอนดรอยด์สปายแวร์ ‘Mandrake’ ซ่อนตัวอยู่ในแอปบน Google Play ตั้งแต่ปี 2022

News

พบสปายแวร์ ‘Mandrake’ เวอร์ชันใหม่บน Android ใน 5 แอปพลิเคชันที่ถูกดาวน์โหลดไปแล้วกว่า 32,000 ครั้งจาก Google Play ซึ่งเป็นแอปสโตร์อย่างเป็นทางการของแพลตฟอร์ม   Bitdefender ได้ทำการบันทึกข้อมูล Mandrake เป็นครั้งแรกในปี 2020 โดยนักวิจัยได้เน้นย้ำถึงความสามารถในการสอดส่องที่ซับซ้อนของมัลแวร์ตัวนี้ และสังเกตว่ามัลแวร์ตัวนี้ทำงานอย่างแพร่หลายตั้งแต่ปี 2016 เป็นอย่างน้อย ปัจจุบัน Kaspersky รายงานว่า Mandrake เวอร์ชันใหม่ที่มีคุณสมบัติการบดบังและหลบเลี่ยงที่ดีกว่าได้แอบเข้ามาใน Google Play ผ่าน 5 แอปพลิเคชันที่อยู่ในสโตร์ในปี 2022   แอปเหล่านี้ยังคงเปิดใช้งานได้นานอย่างน้อย 1 ปี ในขณะที่แอปสุดท้ายคือ AirFS ซึ่งประสบความสำเร็จสูงสุดในแง่ของความนิยมและทำให้ติดไวรัส ได้ถูกลบออกเมื่อปลายเดือนมีนาคม 2024 AirFS บน Google Play Source: Kaspersky Kaspersky ระบุแอปที่มีมัลแวร์ Mandrake แฝงตัวอยู่ไว้ 5 แอป ดังนี้:…

ช่องโหว่ด้านความปลอดภัยเครือข่ายแบบ Zero-Day ตกเป็นเป้าหมายในการโจมตี จาก China-Nexus APT

News

ช่องโหว่ด้านความปลอดภัยเครือข่ายแบบ Zero-Day ตกเป็นเป้าหมายในการโจมตี ด้วยแคมเปญจารกรรมข้อมูลทางไซเบอร์จาก China-Nexus APT ผู้โจมตีที่เชื่อมโยงกับจีนซึ่งมาในชื่อ UNC3886 ได้ใช้ประโยชน์จากช่องโหว่แบบ Zero-day ในอุปกรณ์ Fortinet, Ivanti และ VMware เพื่อบุกโจมตีระบบโดยการเข้าถึงและ Maintain access การค้นพบล่าสุดจากนักวิจัยทางไซเบอร์ให้รายละเอียดว่าผู้โจมตีที่มุ่งเน้นการจารกรรมใช้กลไกหลายอย่างในอุปกรณ์เครือข่าย ไฮเปอร์ไวเซอร์ และ Virtual machines (VM) เพื่อให้แน่ใจว่ามีการเข้าถึงอย่างต่อเนื่อง แม้ว่าการตรวจจับและลบออกในช่วงแรกก็ตาม UNC3886 hackers use Linux rootkits to hide on VMware ESXi VMs https://t.co/XkjQA1o3ng — Nicolas Krassas (@Dinosn) June 20, 2024 UNC3886 มีลักษณะที่มีความซับซ้อนและหลบเลี่ยง โดยใช้ประโยชน์จากช่องโหว่แบบ Zero-day เช่น CVE-2022-41328 (Fortinet FortiOS), CVE-2022-22948 (VMware…