14/02/2567

Hacker ใช้ช่องโหว่ Windows Defender โจมตีด้วย Malware DarkMe

 


        Microsoft ได้แก้ไขช่องโหว่ของ Windows Defender SmartScreen ซึ่งถูก Hacker ที่เจาะระบบเพื่อโจรกรรมข้อมูลทางการเงินด้วยวิธีการปล่อย Malware  กลุ่ม DarkMe ทีทำการ remote access trojan (RAT) ไปที่เครื่องผู้ใช้งาน

        นักวิจัยด้านความปลอดภัยของ Trend Micro ออกมาเปิดเผยช่องโหว่ zero-day (CVE-2024-21412) ในช่วงปีใหม่ที่ผ่านมา และได้กล่าวถึงกลุ่ม Hacker ที่มีนามแฝงว่า Water Hydra และ DarkCasino เป็นผู้โจมตีช่องโหว่นี้

        Microsoft ออกมาเปิดเผยถึงการโจมตีครั้งนี้ว่า Hacker ทำการเจาะระบบเข้ามาผ่านช่องโหว่ของเครื่องผู้ใช้งาน และทำการสร้างไฟล์ขึ้นมา โดยไฟล์ที่สร้างการตรวจสอบความปลอดภัยของ Microsoft ไม่สามารถตรวจพบ ไฟล์ที่ถูกสร้างจะไม่สามารถควบคุมได้ แต่ Hackerจะทำการล่อลวงให้ผู้ใช้สนใจและทำการคลิกที่ไฟล์เพื่อโจรกรรมข้อมูล

        Peter Girnus นักวิจัยด้านความปลอดภัยของ Trend Micro ได้ออกมาแนะนำ Patch ที่มีช่องโหว่คล้ายกับ CVE-2024-21412 คือการหลีกเลี่ยง Defender SmartScreen ที่มีชื่อว่า CVE-2023-36025

        Trend Micro ได้ออกมาเปิดเผยการอุดช่องโหว่ CVE-2023-36025 ในช่วงเดือนพฤศจิกายน 2023 Patch Tuesday โดยช่องโหว่นี้เมื่อถูก Hacker เจาะระบบจะทำการสร้างไฟล์ขึ้นมา โดยไฟล์ที่สร้างการตรวจสอบความปลอดภัยของ Microsoft ไม่สามารถตรวจพบ ไฟล์ที่ล่อล่องผู้ใช้งานจะทำงานเมื่อเปิดไฟล์ URL จะทำการปล่อยโฆษณาสินค้า Phemedrone info-stealer malware ออกมาเมื่อผู้ใช้งานทำการคลิกที่โฆษณาจะถูกโจรกรรมข้อมูล



โจรกรรมข้อมูลทางการเงินจากช่องโหว่ Zero day

        Zero-day ที่ Microsoft ได้แก้ไขวันนี้ ถูกใช้ในเป้าหมายการโจรกรรมข้อมูลทางการเงินหรือการกระทำการเข้ารหัส Ransome ภายหลัง

        ในช่วงปลายเดือนธันวาคม 2023 บนเว็บไซต์ Trend Micro  มีการเริ่มติดตามกลุ่ม Water Hydra ที่มีเครื่องมือ กลยุทธ์  และขั้นตอนการทำงานในการโจรกรรม (TTP) ที่คล้ายกันกับการใช้ URL อินเทอร์เน็ต  และและรวมถึง Distributed Authoring and Versioning (WebDAV)

        จุดประสงค์กลุ่ม Hacker Water Hydra เจาะระบบผ่านช่องโหว่ CVE-2024-21412 มีเป้าหมายการกำหนดเป้าหมายไปที่ชุมชนการซื้อขายเงินตราต่างประเทศและช่องทาง Telegram สำหรับการซื้อขายหุ้น โดยมรูปแบบโจมตี spearphishing โดยการนำเสนอล่อลวงด้วยกราฟหุ้นที่น่าสงสัยที่เชื่อมโยงกับเว็บไซต์ข้อมูลการซื้อขายที่จากรัสเซีย (fxbulls[.]ru) โดยแอบอ้างเป็นแพลตฟอร์มโบรกเกอร์ฟอเร็กซ์ (fxbulls[.]com)


Ref : bleepingcomputer


ที่

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

สมัครสมาชิก: ส่งความคิดเห็น (Atom)