พบข้อมูลว่าผู้ไม่ประสงค์ดีสามารถใช้ Extensions ของ Google Chrome ได้กว่า 35 รายการในการโจมตีเป้าหมาย

    มีรายละเอียดใหม่เกี่ยวกับแคมเปญฟิชชิงที่กำหนดเป้าหมายไปยังผู้พัฒนา extension ของเบราว์เซอร์ Chrome ซึ่งนำไปสู่การถูกเจาะข้อมูลของ extension อย่างน้อย 35 รายการ เพื่อแทรกโค้ดที่ใช้สำหรับขโมยข้อมูลไว้ ซึ่งรวมถึง extension จากบริษัทด้านความปลอดภัยทางไซเบอร์อย่าง Cyberhaven ด้วย

    แม้รายงานเริ่มต้นจะเน้นไปที่ extension ที่เกี่ยวข้องกับความปลอดภัยของ Cyberhaven แต่จากการสืบสวนเพิ่มเติมพบว่าโค้ดเดียวกันนี้ถูกแทรกเข้าไปใน extension อย่างน้อย 35 รายการ ซึ่งมีผู้ใช้งานโดยรวมประมาณ 2,600,000 คน

    จากรายงานบน LinkedIn และ Google Groups ของนักพัฒนาที่ตกเป็นเป้าหมาย พบว่าแคมเปญล่าสุดเริ่มขึ้นประมาณวันที่ 5 ธันวาคม 2024 อย่างไรก็ตาม โดเมนย่อยที่ใช้ควบคุม และสั่งการที่พบโดย                  BleepingComputer มีการใช้งานมาตั้งแต่เดือนมีนาคม 2024 แล้ว ข้อความในโพสต์ของกลุ่ม Chromium Extension บน Google Group ระบุว่า “แจ้งเตือนให้ทุกคนทราบเกี่ยวกับอีเมลฟิชชิงที่มีความซับซ้อนมากกว่าปกติที่เคยได้รับ โดยระบุว่าเป็นการละเมิดนโยบายของ Chrome Extension ในรูปแบบ 'Unnecessary details in the description' "

    "ลิงก์ในอีเมลนี้ดูเหมือนจะเป็นลิงก์ไปยัง Webstore แต่แท้จริงแล้วนำไปยังเว็บไซต์ฟิชชิงที่พยายามจะเข้าควบคุม Chrome Extension ของคุณ และมีแนวโน้มที่จะอัปเดตมันด้วยมัลแวร์"

การโจมตีด้วย OAuth attack chain

    การโจมตีเริ่มต้นด้วยอีเมลฟิชชิงที่ส่งตรงไปยังนักพัฒนา extension ของ Chrome หรือส่งผ่านอีเมลฝ่าย support ที่เกี่ยวข้องกับชื่อโดเมนของพวกเขา จากอีเมลที่ BleepingComputer พบ แคมเปญนี้ใช้โดเมนดังต่อไปนี้ในการส่งอีเมลฟิชชิง:

• supportchromestore.com
• forextensions.com
• chromeforextension.com

    อีเมลฟิชชิงที่ทำขึ้นให้ดูเหมือนว่ามาจาก Google อ้างว่า extension ของนักพัฒนาละเมิดนโยบายของ Chrome Web Store และมีความเสี่ยงที่จะถูกลบออก

    ข้อความในอีเมลฟิชชิงระบุว่า "เราไม่อนุญาตให้ใช้ extension ที่มี metadata ที่ทำให้เข้าใจผิด, มีการจัดรูปแบบที่ไม่เหมาะสม, ไม่มีคำอธิบาย, ไม่เกี่ยวข้อง, มีเนื้อหาที่เกินความจำเป็น, รวมถึงการไม่จำกัดคำอธิบายของ extension, ชื่อผู้พัฒนา, ชื่อ extension, ไอคอน, ภาพหน้าจอ และภาพสำหรับการส่งเสริมการขาย"

    โดยเฉพาะอย่างยิ่ง ผู้พัฒนา extension จะถูกทำให้เชื่อว่าคำอธิบายของซอฟต์แวร์ของพวกเขามีข้อมูลที่ทำให้เข้าใจผิด และต้องยอมรับนโยบายของ Chrome Web Store

    หากผู้พัฒนาคลิกที่ปุ่ม 'Go To Policy' ซึ่งฝังอยู่ในอีเมลเพื่อพยายามทำความเข้าใจว่าพวกเขาละเมิดกฎข้อใด พวกเขาจะถูกนำไปยังหน้าล็อกอินที่ดูเหมือนถูกต้องบนโดเมนของ Google แต่แท้จริงแล้วเป็นแอปพลิเคชัน OAuth ที่เป็นอันตราย

    หน้านี้เป็นส่วนหนึ่งของกระบวนการ authorization มาตรฐานของ Google ซึ่งออกแบบมาเพื่อให้สิทธิ์การเข้าถึงทรัพยากรเฉพาะของบัญชี Google อย่างปลอดภัยแก่แอปพลิเคชัน third-party

    บนแพลตฟอร์มนั้น ผู้โจมตีโฮสต์แอปพลิเคชัน OAuth ที่เป็นอันตรายชื่อ "Privacy Policy Extension" ซึ่งจะขอให้เหยื่อให้สิทธิ์ในการจัดการ extension ของ Chrome เว็บสโตร์ผ่านบัญชีของพวกเขา

    "เมื่ออนุญาตการเข้าถึงนี้ "Privacy Policy Extension" จะสามารถดู, แก้ไข, อัปเดต หรือเผยแพร่ extension, ธีม, แอป และ licenses ของ Chrome เว็บสโตร์ที่สามารถเข้าถึงได้"

    Multi-factor authentication ไม่ได้ช่วยป้องกันการโจมตีรูปแบบนี้ เนื่องจากไม่จำเป็นต้องมีการยืนยันตัวตนโดยตรงในขั้นตอน OAuth authorization และกระบวนการนี้ถือว่าผู้ใช้เป็นคนให้ permissions เอง

Cyberhaven อธิบายในการวิเคราะห์หลังเหตุการณ์ว่า "พนักงานของบริษัททำตามขั้นตอนมาตรฐาน และเป็นคนให้ permissions กับแอปพลิเคชัน third-party ที่เป็นอันตรายนี้โดยไม่ได้ตั้งใจ"

    "พนักงานของบริษัทมีการเปิดใช้งาน Google Advanced Protection และมีการใช้ MFA กับบัญชีของพวกเขา อย่างไรก็ตาม ไม่มีการแจ้งเตือนจาก MFA และข้อมูล credentials ของ Google ของพนักงานไม่ได้ถูกเข้าถึง"

    เมื่อผู้โจมตีสามารถเข้าถึงบัญชีของผู้พัฒนา extension ได้แล้ว พวกเขาได้แก้ไข extension โดยเพิ่มไฟล์ที่เป็นอันตรายสองไฟล์ ได้แก่ 'worker.js' และ 'content.js' ซึ่งมีโค้ดสำหรับขโมยข้อมูลจากบัญชี Facebook

Extension ที่ถูกโจมตีนี้ถูกเผยแพร่เป็นรูปแบบ "เวอร์ชันใหม่" บน Chrome Web Store

    ในขณะที่ Extension Total กำลังติดตาม extension 35 รายการที่ได้รับผลกระทบจากแคมเปญฟิชชิงนี้ แต่ IOC จากการโจมตีแสดงให้เห็นว่ามีจำนวนเป้าหมายที่มากกว่านั้นมาก

    ตามรายงานของ VirusTotal ผู้โจมตีได้ลงทะเบียนโดเมนล่วงหน้าสำหรับ extension ที่เป็นเป้าหมาย แม้ว่า extension เหล่านั้นจะไม่ได้ตกเป็นเหยื่อของการโจมตีก็ตาม

    ในขณะที่โดเมนส่วนใหญ่ถูกสร้างขึ้นในเดือนพฤศจิกายน และธันวาคม แต่ BleepingComputer พบว่าผู้โจมตีได้ทดสอบการโจมตีนี้มาตั้งแต่เดือนมีนาคม 2024

การโจมตีบัญชีธุรกิจของ Facebook

    การวิเคราะห์เครื่องที่ถูกโจมตี แสดงให้เห็นว่าผู้โจมตีมุ่งเป้าไปที่บัญชี Facebook ของผู้ใช้งานที่ติดตั้ง extension ที่ถูกดัดแปลง

    โดยเฉพาะอย่างยิ่ง โค้ดที่ใช้ขโมยข้อมูลพยายามดึง Facebook ID, access token, ข้อมูลบัญชี, ข้อมูลบัญชีโฆษณา และบัญชีธุรกิจของผู้ใช้

    นอกจากนี้ โค้ดที่เป็นอันตรายยังได้เพิ่มฟีเจอร์ดักจับการคลิกเมาส์ โดยเฉพาะสำหรับการโต้ตอบของเหยื่อบน Facebook.com โดยมุ่งเป้าหมายไปที่ภาพ QR code ที่เกี่ยวข้องกับการยืนยันตัวตนสองขั้นตอน หรือกลไก CAPTCHA ของแพลตฟอร์ม

    เป้าหมายคือเพื่อ bypass การป้องกันแบบ 2FA บนบัญชี Facebook และเปิดทางให้ผู้โจมตีเข้าควบคุมบัญชีได้

    ข้อมูลที่ถูกขโมยจะถูกจัดเก็บร่วมกับคุกกี้ของ Facebook, User agent string, Facebook ID และเหตุการณ์การคลิกเมาส์ ก่อนที่จะถูกส่งออกไปยังเซิร์ฟเวอร์ควบคุม และสั่งการ (C2) ของผู้โจมตี

ผู้โจมตีได้มุ่งเป้าบัญชีธุรกิจของ Facebook ผ่านช่องทางการโจมตีต่าง ๆ เพื่อทำการชำระเงินโดยตรงจากบัตรเครดิตของเหยื่อไปยังบัญชีของพวกเขา, เผยแพร่ข้อมูลเท็จ หรือแคมเปญฟิชชิ่งบนแพลตฟอร์มโซเชียลมีเดีย หรือหารายได้จากการเข้าถึงโดยขายให้ผู้อื่น

    Or Eshed ซีอีโอของ LayerX Security ซึ่งมีส่วนเกี่ยวข้องกับการเปิดเผย extension ที่ถูกโจมตีบางส่วน ให้ข้อมูลกับ BleepingComputer ว่า ผู้ใช้งานในองค์กรจำนวนมากได้ติดตั้ง extension ที่มีความเสี่ยงสูงบนอุปกรณ์ของตนไปเรียบร้อยแล้ว

    Eshed ระบุว่า "Extension บนเบราว์เซอร์คือภัยคุกคามต่อข้อมูลส่วนบุคคล จากการวิจัยของ LayerX พบว่า 60% ของผู้ใช้ในองค์กรติดตั้ง extension บนเบราว์เซอร์บนคอมพิวเตอร์ของพวกเขา และกว่า 40% ของผู้ใช้เหล่านี้มี extension ที่มีสิทธิ์การเข้าถึงที่มีความเสี่ยงสูง ซึ่งทำให้ extension เหล่านี้เป็นเป้าหมายที่น่าสนใจสำหรับแคมเปญการโจมตีเพื่อขโมยข้อมูล"

Ref : bleepingcomputer.com

Google Pay แจ้งเตือนผู้ใช้งานเกี่ยวกับระบบอีเมลให้ทำการ “เพิ่มบัตร Credit ใหม่” โดยไม่ถามความสมัครใจ

    สัปดาห์นี้ผู้ใช้งานรู้สึกตื่นตระหนกเมื่อได้รับอีเมลจาก Google Pay ซึ่งระบุว่าพวกเขาได้มีการ "เพิ่มบัตรใหม่" ลงในบัญชี Google ของตนได้สำเร็จ

    การแจ้งเตือนนี้ทำให้ผู้ใช้ตกใจ และแสดงความกังวลในโซเชียลมีเดีย ท่ามกลางความกังวลว่าพวกเขาอาจตกเป็นเหยื่อของการละเมิดข้อมูล

    สำหรับหลาย ๆ คน บัตรที่ถูกระบุถึงในอีเมลนั้นได้ถูกออกให้เมื่อหลายปีก่อน และปัจจุบันหมดอายุแล้ว ซึ่งทำให้เกิดความสับสนมากขึ้น

อีเมลที่แจ้งว่า 'เพิ่มบัตรใหม่' ใน Google Pay ทำให้ผู้ใช้ไม่สบายใจ

    ระหว่างวันพุธถึงวันพฤหัสบดีในสัปดาห์ที่ผ่านมา ผู้ใช้งาน Google Pay หลายคนได้รับอีเมลเกี่ยวกับการเพิ่มบัตรใหม่ในบัญชี Google Pay ของพวกเขา

    ผู้ใช้งานที่กังวลได้โพสต์ข้อมูลบนโซเชียลมีเดีย และฟอรัมสนับสนุนของ Google เพื่อขอคำชี้แจงเกี่ยวกับการแจ้งเตือนเหล่านี้ และพวกเขาเป็นเหยื่อของการถูกโจมตีหรือไม่

    ผู้ใช้งาน Google Pay ชื่อ Arran Dickson รายงานว่าได้รับการแจ้งเตือนทางอีเมลที่ผิดปกติช่วง 04.00 น. เกี่ยวกับบัตรเก่าที่หมดอายุแล้ว และได้สอบถามไปยัง Google ว่านี่ควรต้องกังวลกับเหตุการณ์นี้หรือไม่

ผู้ใช้งานคนอื่น ๆ ก็เข้ามาแสดงความคิดเห็น รวมถึง Anthony Parkes ที่ระบุว่าเขาได้รับอีเมลเช่นนี้ถึง 15 ฉบับ ซึ่งทำให้เขาเริ่มสงสัยว่าเขาถูกแฮ็กหรือไม่

    ฟอรัมสนับสนุนของ Google ยังมีหัวข้อที่เป็น trending โดยมีการโหวตจากผู้ใช้งานเป็นจำนวนหลายร้อยคน อีกทั้งยังมีหัวข้อที่คล้ายกันปรากฏบน Reddit เช่นเดียวกัน

Google ยืนยันว่าไม่มีการละเมิดข้อมูล และอีเมลนั้นเป็นความผิดพลาดที่เกิดขึ้นโดยไม่ได้ตั้งใจ

    เมื่อวันเสาร์ที่ผ่านมา Google ได้ส่งอีเมลเพิ่มเติมไปยังผู้ใช้งานที่ได้รับผลกระทบ โดยระบุว่าอีเมลการแจ้งเตือนก่อนหน้านั้นเป็น "ความผิดพลาด" และไม่มีเหตุผลให้ต้องกังวล

    การแก้ไขที่ส่งจากทีม Google Pay ระบุไว้ว่า "คุณอาจได้รับอีเมลหนึ่ง หรือหลายฉบับเกี่ยวกับวิธีการชำระเงินที่ถูกเพิ่มลงในบัญชี Google ของคุณ หากได้รับอีเมลเหล่านี้ ถือเป็นความผิดพลาดที่ได้ถูกแก้ไขแล้ว เราขออภัยในความไม่สะดวกนี้ ไม่มีการเข้าถึงบัญชี Google ของคุณโดยไม่ได้รับอนุญาต และข้อมูลของคุณไม่ได้ถูกละเมิด คุณไม่จำเป็นต้องดำเนินการใด ๆ คุณสามารถตรวจสอบวิธีการชำระเงินของคุณได้ทุกเมื่อในบัญชี Google ของคุณ"

    ดังนั้น ผู้ที่ได้รับอีเมลการ 'เพิ่มบัตรใหม่' ในสัปดาห์นี้สามารถเพิกเฉยต่ออีเมลดังกล่าวได้อย่างปลอดภัย

    ตามแนวทางปฏิบัติที่ดีที่สุด ผู้ใช้ควรตรวจสอบวิธีการชำระเงิน และรายการธุรกรรมที่ระบุไว้ภายใต้บัญชี Google ของตน และผลิตภัณฑ์กระเป๋าเงินดิจิทัลอื่น ๆ อยู่เป็นประจำ

Ref : bleepingcomputer

Google Chrome แนะนำให้ผู้ใช้งานใช้ฟีเจอร์ One-Time Permissions และ Enhanced Safety Check เพื่อให้มีความปลอดภัยมากขึ้น

    Google ประกาศว่าจะเปิดตัวฟีเจอร์ใหม่ในเบราว์เซอร์ Chrome ซึ่งจะช่วยให้ผู้ใช้สามารถควบคุมข้อมูลของตนเองได้มากขึ้นในขณะที่กำลังท่องอินเทอร์เน็ตอยู่ และป้องกันภัยคุกคามออนไลน์ได้

โดยทาง Google ระบุว่า Chrome เวอร์ชันล่าสุดสามารถใช้ประโยชน์จากฟีเจอร์ Safety Check ที่ได้รับการอัปเกรดแล้ว ซึ่งสามารถเลือกที่จะไม่รับการแจ้งเตือนเว็บไซต์ที่ไม่ต้องการได้ง่ายขึ้น และสามารถเลือกให้สิทธิ์การเข้าถึงกับบางเว็บไซต์ได้ครั้งเดียวเท่านั้น

    มีการปรับปรุงฟีเจอร์ Safety Check ช่วยให้ระบบหลังบ้านทำงานในรูปแบบอัตโนมัติ และจะมีการแจ้งผู้ใช้เกี่ยวกับการดำเนินการที่ได้ทำไป เช่น การเพิกถอนสิทธิ์การเข้าถึงสำหรับเว็บไซต์ที่ผู้ใช้ไม่ได้ใช้งานแล้ว และการทำเครื่องหมายสำหรับการแจ้งเตือน

    โดยมีการออกแบบมาเพื่อแจ้งให้ผู้ใช้ทราบถึงปัญหาความปลอดภัยที่จำเป็นต้องได้รับการแก้ไข พร้อมทั้งเพิกถอนสิทธิ์การแจ้งเตือนจากเว็บไซต์ที่น่าสงสัย ซึ่งระบุโดยฟีเจอร์ Google Safe Browsing ในรูปแบบอัตโนมัติ

    Andrew Kamau product manager ของ Chrome ระบุว่า ในหน้า Desktop ฟีเจอร์ Safety Check จะมีการแจ้งเตือนต่อเนื่อง หากมีการติดตั้ง extensions ของ Chrome ซึ่งอาจก่อให้เกิดความเสี่ยงในด้านความปลอดภัย จากนั้นโปรแกรมจะพาไปที่หน้า extensions page และแสดง summary panel เพื่อให้ผู้ใช้สามารถดำเนินการลบ extensions ได้ทันที

    Google ระบุเพิ่มเติมว่า นอกจากผู้ใช้จะสามารถเลือกเปิดฟีเจอร์ใช้งานการป้องกัน Google Safe Browsing ได้แล้ว ฟีเจอร์ยังสามารถแจ้งเตือนได้อีกว่าชื่อผู้ใช้หรือรหัสผ่านที่เก็บไว้ใน Google Password Manager มีส่วนเกี่ยวข้องกับการละเมิดข้อมูลหรือไม่

    การอัปเดตสำคัญอื่น ๆ เช่น สามารถยกเลิกการสมัครรับการแจ้งเตือนเว็บไซต์ที่ไม่ต้องการได้ โดยสามารถตั้งค่าได้ที่หน้าต่างการแจ้งเตือนบนอุปกรณ์ Pixel และ Android รวมถึงการให้สิทธิ์แบบครั้งเดียวสำหรับ Chrome บน Android และ Desktop

    Kamau ระบุว่าฟีเจอร์นี้ สามารถเลือกให้สิทธิ์บางอย่าง เช่น การเข้าถึงกล้อง หรือไมโครโฟนของผู้ใช้กับเว็บไซต์ได้เพียงครั้งเดียว ซึ่งจะช่วยให้ผู้ใช้งานจัดการความเป็นส่วนตัวในการใช้งานได้ดีขึ้น และเมื่อผู้ใช้ออกจากเว็บไซต์แล้ว Chrome จะเพิกถอนสิทธิ์ดังกล่าว เว็บไซต์จะไม่สามารถใช้สิทธิ์เหล่านั้นได้จนกว่าผู้ใช้จะให้สิทธิ์ดังกล่าวอีกครั้ง

Ref : thehackernews.com

Google ได้แก้ไขช่องโหว่ zero-day เพิ่มเติมใน Chrome

 

    Google ได้แก้ไขช่องโหว่ Zero-day บนเบราว์เซอร์ Chrome ซึ่งถูกพบภายในรแข่งขันการแฮ็ก Pwn2Own Vancouver 2024 เมื่อเดือนกุมภาพันธ์ ที่ผ่านมา ช่องโหว่ CVE-2024-3159 นี้อยู่ใน V8 JavaScript engine ของ Chrome และถูกจัดประเภทเป็น out-of-bounds read vulnerability และ Google ได้อุดช่องโหว่ 7 รายการบนเบราว์เซอร์ Chrome เวอร์ชันที่ได้รับการอัปเดตสำหรับ Windows และ Mac คือ  123.0.6321.86/.87 ส่วนของ Linux คือเวอร์ชัน 123.0.6312.86 ซึ่งจะอัปเดตพร้อมกันทั่วโลกในอีกไม่กี่วันนี้

    ช่องโหว่ที่ถูกแก้ไขในครั้งนี้มี 2 ช่องโหว่ที่ถูกพบระหว่างทำการแข่งขันการแฮ็ก Pwn2Own Vancouver 2024

    ช่องโหว่ที่ 1 คือ CVE-2024-2887 เป็นช่องโหว่ที่มีความรุนแรงสูง จัดอยู่ในประเภท typeconfusion โดย Manfred Paul ได้เปิดเผยช่องโหว่นี้ในวันแรกของงาน ซึ่งช่องโหว่นี้จะช่วยให้ ไม่ประสงดีทำการโจมตีจากระยะไกล (RCE) ผ่านการสร้างหน้า HTML เป้าหมายการโจมตีอยู่ที่ Chrome และ Edge

    ช่องโหว่ที่ 2 คือ CVE-2024-2886 ถูกนำไปใช้โดย Seunghyun Lee จาก KAIST Hacking Lab’s ในวันที่ 2 ของการแข่งขัน CanSecWest Pwn2Own contest ช่องโหว่นี้จะช่วยให้ผู้ไม่ประสงดีสามารถอ่าน/เขียนผ่านหน้า HTML ได้ เป้าหมายการโจมตีอยู่ที่ Chrome และ Edge

Ref: bleepingcomputer

พบข้อมูล plaintext password รั่วไหลกว่า 19 ล้านรายการ จาก Firebase instance ที่ตั้งค่าไม่ปลอดภัย

    ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์รายงานการค้นพบ Plaintext password กว่า 19 ล้านรหัส ที่ถูกเปิดเผยบนอินเทอร์เน็ตจาก Firebase instance ที่ตั้งค่าแบบไม่ปลอดภัย โดย Firebase เป็นแพลตฟอร์มของ Google สำหรับการโฮสต์ฐานข้อมูล 

  การประมวลผลแบบคลาวด์ และการพัฒนาแอป ซึ่งผู้เชี่ยวชาญได้ทำการสแกนโดเมนมากกว่า 5 ล้านโดเมน และพบเว็บไซต์ 916 แห่ง จากองค์กรที่ไม่ได้เปิดใช้งานมาตรการด้านความปลอดภัย หรือตั้งค่าไม่ถูกต้องโดยข้อมูล plaintext password ที่รั่วไหลประกอบไปด้วย ข้อมูลผู้ใช้ที่มีความสำคัญมากกว่า 125 ล้านรายการ รวมถึงอีเมล ชื่อ รหัสผ่าน หมายเลขโทรศัพท์ และข้อมูลการเรียกเก็บเงินพร้อมรายละเอียดธนาคาร

ข้อมูล Plaintext password ที่รั่วไหล

    ผู้เชี่ยวชาญ (Logykk ,xyzeva/Eva และ MrBruh) ได้ค้นหาเว็บสาธารณะเพื่อหาข้อมูลส่วนบุคคล (PII) ที่ถูกเปิดเผยผ่าน Firebase instance ที่มีช่องโหว่ ซึ่งไม่มีการตั้งค่าความปลอดภัยเลย หรือมีการกำหนดค่าไม่ถูกต้อง และอนุญาตให้เข้าถึงฐานข้อมูลแบบ read access ได้

    สำหรับตัวอย่าง database ที่รั่วไหล ถูกแสดงโดยคริปต์ของ Eva ซึ่งเป็น Catalyst ที่มีไว้เพื่อตรวจสอบประเภทของข้อมูลที่พบ และแยกตัวอย่าง 100 รายการ

รายละเอียดของข้อมูล plaintext password ที่รั่วไหล จากการตั้งค่าไม่ปลอดภัย ประกอบไปด้วย:

ชื่อ : 84,221,169 รายการ

อีเมล์: 106,266,766 รายการ

หมายเลขโทรศัพท์: 33,559,863 รายการ

รหัสผ่าน: 20,185,831 รายการ

ข้อมูลการเรียกเก็บเงิน (รายละเอียดธนาคาร ใบแจ้งหนี้ ฯลฯ): 27,487,924 รายการ

ซึ่งรหัสผ่านจำนวน 98% หรือ 19,867,627 รายการ เป็น plaintext password ทำให้มีความเสี่ยงที่จะถูกนำข้อมูลไปใช้ในการโจมตีได้

    ทั้งนี้ผู้เชี่ยวชาญระบุว่าบริษัทต่าง ๆ ควรต้องหลีกเลี่ยงการจัดเก็บรหัสผ่านในรูปแบบ plaintext เนื่องจาก Firebase มี end-to-end identity solution ที่เรียกว่า Firebase Authentication โดยเฉพาะ สำหรับกระบวนการลงชื่อเข้าใช้ที่ปลอดภัย ซึ่งจะไม่เปิดเผยรหัสผ่านของผู้ใช้ใน record หนึ่งในวิธีการรั่วไหลของของรหัสผ่านผู้ใช้ใน Firestore database คือการที่ผู้ดูแลระบบสร้างฟิลด์ 'password' ที่จะจัดเก็บข้อมูลในรูปแบบ plaintext

การแจ้งเตือนไปยังเจ้าของเว็บไซต์

    หลังจากวิเคราะห์ข้อมูลจากตัวอย่างแล้ว ผู้เชี่ยวชาญได้พยายามแจ้งเตือนไปยังบริษัทที่ได้รับผลกระทบทั้งหมดเกี่ยวกับ Firebase instance ที่มีการรักษาความปลอดภัยที่ไม่เหมาะสม โดยส่งอีเมล 842 ฉบับในระยะเวลา 13 วัน แม้ว่าจะมีเจ้าของเว็บไซต์เพียง 1% ตอบกลับอีเมลดังกล่าว แต่พบว่าหนึ่งในสี่ของผู้ดูแลระบบเว็บไซต์ที่ได้รับแจ้งเตือน ได้ทำการแก้ไขการกำหนดค่าที่ไม่ถูกต้องในแพลตฟอร์ม Firebase ของตน รวมถึงผู้เชี่ยวชาญยังได้รับการเยาะเย้ยจากเว็บไซต์การพนันของอินโดนีเซีย 9 รายการ ที่ผู้เชี่ยวชาญได้รายงานปัญหา และแนะนำแนวทางในการแก้ไขปัญหา ซึ่งบริษัทเดียวกันนี้ มีจำนวนบันทึกบัญชีธนาคารที่ถูกเปิดเผยมากที่สุด (8 ล้านรายการ) และรหัสผ่านแบบ plaintext (10 ล้านรายการ)

ข้อมูลที่รั่วไหลทั้งหมด 223 ล้านรายการ

    ผู้เชี่ยวชาญได้ทำการสแกนโดยใช้สคริปต์ Python ที่สร้างโดย MrBruh เพื่อตรวจสอบเว็บไซต์ หรือชุด JavaScript เพื่อหาตัวแปรในการกำหนดค่า Firebase ซึ่งการสแกนอินเทอร์เน็ต แยกวิเคราะห์ข้อมูลดิบ และการจัดระเบียบใช้เวลาประมาณหนึ่งเดือน

    การใช้หน่วยความจำขนาดใหญ่ทำให้สคริปต์ไม่เหมาะสมกับงาน จึงได้เปลี่ยนไปใช้ตัวแปรใน Golang ที่เขียนโดย Logykk ซึ่งใช้เวลามากกว่าสองสัปดาห์ในการสแกนอินเทอร์เน็ตให้เสร็จสิ้น

    โดยสคริปต์ใหม่ได้สแกนโดเมนมากกว่า 5 ล้านโดเมนที่เชื่อมต่อกับแพลตฟอร์ม Firebase ของ Google สำหรับบริการคอมพิวเตอร์คลาวด์แบ็กเอนด์ และการพัฒนาแอปพลิเคชัน ในการตรวจสอบสิทธิ์การอ่านใน Firebase โดยอัตโนมัติ นอกจากนี้ทีมงานยังได้ใช้สคริปต์อื่นจาก Eva ที่จะรวบรวมข้อมูลเว็บไซต์หรือ JavaScript เพื่อเข้าถึง Firebase collections (Cloud Firestore NoSQL databases)

    จำนวนข้อมูลทั้งหมดที่ผู้เชี่ยวชาญค้นพบใน database ที่กำหนดค่าไม่ถูกต้องคือ 223,172,248 รายการ ในจำนวนนี้มีข้อมูลบันทึก 124,605,664 รายการที่เกี่ยวข้องกับผู้ใช้ ส่วนที่เหลือแสดงข้อมูลที่เกี่ยวข้องกับองค์กร และการทดสอบ

จุดเริ่มต้นการค้นพบ

    การสแกนอินเทอร์เน็ตเพื่อหาข้อมูล Personally Identifiable Information in Domain Name System (PII) ที่เปิดเผยจาก Firebase instance ที่กำหนดค่าไม่ถูกต้องเป็นการติดตามผลของอีกโครงการหนึ่งที่ผู้เชี่ยวชาญดำเนินการเมื่อสองเดือนที่แล้ว ซึ่งเป็นโครงการที่ได้รับสิทธิ์ของผู้ดูแลระบบ และสิทธิ์ผู้ดูแลระบบขั้นสูงใน Firebase instance ใช้โดย Chattr ซึ่งเป็นโซลูชันซอฟต์แวร์การจ้างงานที่ขับเคลื่อนด้วย AI

Chattr ถูกใช้โดยร้านอาหารฟาสต์ฟู้ดขนาดใหญ่หลายแห่งในสหรัฐอเมริกา เช่น KFC, Wendy's, Taco Bell, Chick-fil-A, Subway, Arby's, Applebee's และ Jimmy John's เพื่อจ้างพนักงาน

    แม้ว่าบทบาทผู้ดูแลระบบใน Firebase dashboard ของ Chattr จะทำให้สามารถดูข้อมูลที่มีความสำคัญ ที่เกี่ยวข้องกับบุคคลที่พยายามหางานในอุตสาหกรรมอาหารฟาสต์ฟู้ดได้ แต่บทบาท "ผู้ดูแลระบบขั้นสูง" ให้สิทธิ์เข้าถึงบัญชีของบริษัท และดำเนินการในนามของบริษัทสำหรับงานบางอย่าง รวมถึงการตัดสินใจจ้างงานด้วย ทั้งนี้ผู้เชี่ยวชาญได้เปิดเผยช่องโหว่ดังกล่าวต่อ Chattr ซึ่งเป็นผู้แก้ไขช่องโหว่ดังกล่าว

Ref : bleepingcomputer

Google Chrome อัปเดตการป้องกัน real-time phishing ในปลายเดือนนี้

 

    Google กำลังจะประกาศการอัปเดต Safe Browsing หลังจากเดือนนี้ เพื่อให้การป้องกันการโจมตี real-time phishing ให้กับผู้ใช้งาน Chrome โดยไม่ทําลายความเป็นส่วนตัวของการท่องเว็บ

    Safe Browsing เริ่มต้นให้บริการในปี 2005 เพื่อป้องกันผู้ใช้งาน Chrome จากการโจมตี phishing บนเว็บ และต่อมาได้รับการปรับปรุงเพื่อบล็อกโดเมนที่เสี่ยงต่อ Malware และซอฟต์แวร์ที่ไม่พึงประสงค์

     Safe Browsing Enhanced Protection mode เป็นโหมดที่เสริมประสิทธิภาพที่สามารถเลือกเปิดใช้งานได้ ซึ่งใช้ AI เพื่อบล็อกการโจมตี real-time และการสแกนไฟล์ที่ดาวน์โหลด ปัจจุบัน Safe Browsing ตรวจสอบเว็บไซต์ ดาวน์โหลด และส่วนขยายโดยตรวจสอบกับรายการ URL ที่มีความเสี่ยงจากเซิร์ฟเวอร์ของ Google ทุก 30 ถึง 60 นาที

     Google จะเปลี่ยนเป็นการตรวจสอบแบบ real-time ผ่าน URL บนเซิร์ฟเวอร์เพื่อป้องกันการสร้างเว็บไซต์ชั่วคราวเพื่อใช้งานและหายไปภายในเวลาน้อยกว่า 10 นาที

     Google กล่าวว่าการป้องกันแบบเรียลไทม์ของ Safe Browsing ปกป้องความเป็นส่วนตัวของผู้ใช้งานด้วย API ใหม่ที่ใช้ relays Fastly Oblivious HTTP (OHTTP) เพื่อสร้างความสับสนให้กับ URL ของไซต์ที่ hashed URL ของผู้ใช้งานบางส่วนจะถูกส่งต่อไปที่ Safe Browsing ของ Google ผ่านเซิร์ฟเวอร์ความเป็นส่วนตัว OHTTP ซึ่งจะซ่อนที่อยู่ IP และคำนำหน้า hashed ยังได้รับการเข้ารหัสก่อนที่จะส่งผ่านเซิร์ฟเวอร์ความเป็นส่วนตัวไปยัง Safe Browsing เมื่อเซิร์ฟเวอร์ Safe Browsing ได้รับคำนำหน้า hashed ที่เข้ารหัสจากเซิร์ฟเวอร์ความเป็นส่วนตัว เซิร์ฟเวอร์จะถอดรหัสคำนำหน้า hashed ด้วยคีย์ส่วนตัว จากนั้นจึงตรวจสอบฝั่งเซิร์ฟเวอร์ต่อไป จากข้อมูลของ Google

     Google ประกาศคุณลักษณะการป้องกันฟิชชิ่งแบบเรียลไทม์ของ Safe Browsing ในเดือนกันยายน เมื่อมีการแชร์แผนการใช้ relays HTTP ในการตรวจสอบ 

Ref : bleepingcomputer

Google ออกอัปเดตแก้ไขช่องโหว่ Zero-Day ครั้งแรกในปี 2024

    Google ออกอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-day แรกของ Chrome ในปีนี้ โดยช่องโหว่ CVE-2024-0519 กำลังถูกใช้ในการโจมตีอย่างแพร่หลายมาตั้งแต่ต้นปี 2024

    CVE-2024-0519 เป็นช่องโหว่ใน Stable Desktop channel ของผู้ใช้งาน โดยเป็นช่องโหว่ out-of-bounds memory access ที่มีระดับความรุนแรงสูงใน Chrome V8 JavaScript engine ทำให้ Hacker สามารถโจมตีเพื่อเข้าถึงข้อมูลที่อยู่นอกเหนือ memory buffer ได้ ทำให้สามารถเข้าถึงข้อมูลที่มีความสำคัญ หรือทำให้เกิดความเสียหายต่อข้อมูล รวมถึงยังสามารถใช้เพื่อหลีกเลี่ยงกลไกการป้องกัน เช่น ASLR เพื่อให้เรียกใช้คำสั่งได้ง่ายขึ้นผ่านช่องโหว่ ซึ่งทาง Google ได้ออกเวอร์ชันอัปเดตทันทีสำหรับผู้ใช้ Windows (120.0.6099.224/225), Mac (120.0.6099.234) และ Linux (120.0.6099.224) หลังจากค้นพบช่องโหว่ โดยผู้ใช้สามารถทำการอัปเดตด้วยตัวเอง หรือตั้งค่าอัปเดตอัตโนมัติ และติดตั้งหลังจากการเปิดใช้งาน Chrome ในครั้งถัดไป

    แม้ว่า Google จะรับทราบถึงเหตุการณ์ที่ช่องโหว่ CVE-2024-0519 กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง แต่ก็ยังไม่ได้เปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับเหตุการณ์เหล่านี้

    นอกจากนี้ Google ยังได้ออกอัปเดตสำหรับช่องโหว่อื่น ๆ อีกด้วย ได้แก่ ช่องโหว่ V8 out-of-bounds write (CVE-2024-0517) และ ช่องโหว่ type confusion (CVE-2024-0518) ที่ทำให้สามารถเรียกใช้คำสั่งในอุปกรณ์ที่ถูกโจมตีได้

    ในปี 2023 Google ได้ออกอัปเดตช่องโหว่ Zero-day จำนวน 8 รายการที่พบว่าถูกใช้ในการโจมตีอย่างต่อเนื่อง ได้แก่ CVE-2023-7024, CVE-2023-6345, CVE-2023-5217, CVE-2023-4863, CVE-2023-3079, CVE-2023- 4762, CVE-2023-2136 และ CVE- 2023-2033 ซึ่งบางส่วนเช่น CVE-2023-4762 มีความเชื่อมโยงกับการโจมตีของกลุ่ม Hacker ที่มีความสามารถสูง (APT) ที่ใช้ในการติดตั้ง spyware บนอุปกรณ์ที่มีช่องโหว่ของผู้ใช้ที่มีความเสี่ยงสูง รวมถึงนักข่าว นักการเมืองฝ่ายค้าน และผู้ไม่เห็นด้วยกับฝ่ายรัฐบาล

Ref : bleepingcomputer

Google พบกลุ่ม Hacker ชาวรัสเซีย และจีนเกี่ยวข้องกับการโจมตีช่องโหว่ของ WinRAR

    Google เผยแพร่รายงานการพบกลุ่มผู้ไม่ประสงค์ดีที่ได้รับการสนับสนุนจากรัฐบาลหลายกลุ่ม ได้ทำการโจมตีโดยใช้ช่องโหว่ที่มีระดับความรุนแรงสูงใน WinRAR (CVE-2023-38831) อย่างต่อเนื่อง โดยมีเป้าหมายในการเรียกใช้คำสั่งที่เป็นอันตรายบนระบบของเป้าหมาย

WinRAR เป็นซอฟต์แวร์บีบอัด และจัดเก็บไฟล์ยอดนิยมสำหรับ Windows ที่มีผู้ใช้งานในปัจจุบันมากกว่า 500 ล้านคน

    Threat Analysis Group (TAG) ของ Google ซึ่งเป็นทีมผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ของ Google พบกลุ่ม ผู้ไม่ประสงค์ดี ที่ได้รับการสนับสนุนจากรัฐบาลหลายประเทศกำลังมุ่งเป้าการโจมตีไปที่ช่องโหว่ WinRAR รวมถึงกลุ่ม ผู้ไม่ประสงค์ดี Sandworm, APT28 และ APT40 จากรัสเซีย และจีน

โดย TAG ระบุว่า แม้ว่าทาง Microsoft จะออกแพตซ์อัปเดตช่องโหว่ของ WinRAR มาแล้ว แต่ยังพบว่ามีผู้ใช้งานจำนวนมากที่ยังคงไม่ได้ทำการอัปเดต รวมถึงกลุ่ม ผู้ไม่ประสงค์ดี ที่ได้รับการสนับสนุนจากรัฐบาล ก็ใช้ช่องโหว่นี้เป็นส่วนหนึ่งของขั้นตอนการโจมตี

ช่องโหว่ zero-day ของ WinRAR ถูกใช้ในการโจมตีมาตั้งแต่เดือนเมษายน 2023

    ช่องโหว่ zero-day ของ WinRAR (CVE-2023-38831) ถูกพบการโจมตีมาตั้งแต่เดือนเมษายน 2023 ทำให้ ผู้ไม่ประสงค์ดี สามารถเรียกใช้คำสั่งที่เป็นอันตรายบนระบบของเป้าหมายได้ โดยหลอกให้เป้าหมายเปิดไฟล์ RAR และ ZIP อันตราย ซึ่งมี booby-trapped decoy files อยู่ รวมถึงได้ถูกนำไปใช้ในการโจมตีควบคู่กับเพย์โหลดมัลแวร์อื่น ๆ เช่น DarkMe, GuLoader และ Remcos RAT

    นักวิจัยจาก Group-IB พบการมุ่งเป้าหมายการโจมตีไปยังฟอรัมการซื้อขาย cryptocurrency, หลักทรัพย์ และหุ้น โดย ผู้ไม่ประสงค์ดี ได้ปลอมตัวเป็นสมาชิก และทำการแบ่งปันกลยุทธ์การซื้อขายกับเป้าหมาย โดยหลังจากการค้นพบของ Group-IB ก็ได้เริ่มมีการเผยแพร่ชุดสาธิตการโจมตีหรือ PoC บน GitHub repositories ที่ทาง TAG ของ Google เรียกว่า "testing activity CVE-2023-38831" โดยกลุ่ม ผู้ไม่ประสงค์ดี ที่มีแรงจูงใจทางการเงิน และกลุ่ม APT รวมไปถึงบริษัทรักษาความปลอดภัยทางไซเบอร์อื่น ๆ ยังได้พบเชื่อมโยงการโจมตีที่ใช้ช่องโหว่ใน WinRAR นี้กับกลุ่ม ผู้ไม่ประสงค์ดี อื่น ๆ อีกหลายกลุ่ม เช่น DarkPink (NSFOCUS) และ Konni (Knownsec)

    ทั้งนี้ช่องโหว่ WinRAR (CVE-2023-38831) ได้ถูกอัปเดตเพื่อแก้ไขไปแล้ว ด้วย WinRAR เวอร์ชัน 6.23 เมื่อวันที่ 2 สิงหาคม 2023 ที่ผ่านมา ซึ่งยังได้แก้ไขช่องโหว่ด้านความปลอดภัยอื่น ๆ อีกด้วย รวมถึง CVE-2023-40477 ซึ่งเป็นช่องโหว่ที่สามารถเรียกใช้คำสั่งผ่านไฟล์ RAR ที่สร้างขึ้นเป็นพิเศษเพื่อโจมตีเป้าหมายได้

    ทาง Google ได้แนะนำให้ผู้ใช้งานทำการอัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าวโดยด่วน เนื่องจากพบว่ากลุ่ม ผู้ไม่ประสงค์ดี ได้นำช่องโหว่ไปใช้ในการโจมตีแล้วในปัจจุบัน

Ref : bleepingcomputer

Google กำหนดให้ช่องโหว่ใหม่ใน libwebp ที่กำลังถูกใช้ในการโจมตี มีระดับความรุนแรงสูงสุด

    Google ได้กำหนด CVE ID ใหม่ (CVE-2023-5129) ให้กับช่องโหว่ด้านความปลอดภัย libwebp ที่ถูกใช้ในการโจมตีแบบ Zero-day และพึ่งมีแพตช์แก้ไขออกมาเมื่อสองสัปดาห์ก่อน

ในตอนแรก Google ได้เปิดเผยช่องโหว่ดังกล่าวว่าเป็นช่องโหว่ใน Chrome ที่มีหมายเลข CVE-2023-4863 มากกว่าที่จะกำหนดให้เป็นช่องโหว่ใน open-source ไลบรารี libwebp ที่ใช้สำหรับการ encode และ decode ภาพในรูปแบบ WebP

    โดยช่องโหว่นี้ได้รับการรายงานร่วมกันโดย Apple Security Engineering and Architecture (SEAR) และ Citizen Lab ที่ Munk School ของมหาวิทยาลัยโตรอนโตในวันพุธที่ 6 กันยายน และถูกแก้ไขโดย Google ในเวลาไม่ถึงหนึ่งสัปดาห์ต่อมา

    นักวิจัยด้านความปลอดภัยที่ Citizen Lab มีประวัติที่เป็นที่ยอมรับในการตรวจจับ และเปิดเผยข้อมูลช่องโหว่ zero-days ที่ถูกใช้ในการโจมตีจากสปายแวร์แบบกำหนดเป้าหมาย ซึ่งมักจะเกี่ยวข้องกับกลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาล โดยมุ่งเป้าไปที่บุคคลที่มีความเสี่ยงสูงเป็นหลัก เช่น นักข่าว และนักการเมืองฝ่ายตรงข้าม

    การตัดสินใจในช่วงแรกว่าเป็นช่องโหว่ของ Chrome ทำให้เกิดความสับสนในกลุ่มนักวิจัยด้านความปลอดภัยทางไซเบอร์ ซึ่งทำให้เกิดคำถามเกี่ยวกับวิธีการของ Google ในการจัดหมวดหมู่ช่องโหว่ว่าเป็นของ Google Chrome แทนที่จะระบุว่าเป็นช่องโหว่ใน libwebp

    Ben Hawkes ผู้ก่อตั้งบริษัทที่ปรึกษาด้านความปลอดภัย (ซึ่งก่อนหน้านี้เคยเป็นผู้นำทีม Project Zero ของ Google) ยังได้เชื่อมโยง CVE-2023-4863 กับช่องโหว่ CVE-2023-41064 ที่ Apple แก้ไขเมื่อวันที่ 7 กันยายน และถูกใช้เป็นส่วนหนึ่งของการโจมตีแบบ zero-click ใน iMessage (หรือที่ถูกเรียกว่า BLAST PASS) ด้วย Pegasus Spyware ของ NSO Group บน iPhone ที่ถึงแม้จะได้รับการอัปเดตแพตช์อย่างเต็มรูปแบบก็ตาม

ระดับความรุนแรงของ CVE

    อย่างไรก็ตาม ขณะนี้ Google ได้กำหนด CVE ID ใหม่แล้วคือ CVE-2023-5129 ซึ่งระบุว่าเป็นความรุนแรงระดับ critical ใน libwebp โดยมีระดับความรุนแรงสูงสุด 10/10 การเปลี่ยนแปลงนี้มีผลกระทบอย่างมีนัยสำคัญต่อโปรเจ็กต์อื่น ๆ ที่ใช้ใน open-source ไลบรารี libwebp

    โดยขณะนี้ได้มีการยอมรับอย่างเป็นทางการแล้วว่าช่องโหว่ลักษณะดังกล่าวเป็นช่องโหว่ของ libwebp โดยเป็นช่องโหว่ heap buffer overflow ใน WebP ซึ่งส่งผลกระทบต่อ Google Chrome เวอร์ชันก่อนหน้า 116.0.5845.187

    ช่องโหว่นี้อยู่ภายในอัลกอริธึมการเข้ารหัส Huffman ที่ใช้โดย libwebp สำหรับ lossless compression และทำให้ผู้โจมตีสามารถ execute out-of-bounds memory writes โดยใช้หน้า HTML ที่สร้างขึ้นมาเป็นพิเศษ

    การใช้ประโยชน์จากช่องโหว่นี้อาจส่งผลร้ายแรง ตั้งแต่การหยุดการทำงาน ไปจนถึงการเรียกใช้โค้ดตามที่ต้องการ และการเข้าถึงข้อมูลที่มีความสำคัญโดยไม่ได้รับอนุญาต

    การจัดประเภทใหม่ของ CVE-2023-5129 ว่าเป็นช่องโหว่ใน libwebp มีความสำคัญมาก เนื่องจากในตอนแรกไม่มีใครสังเกตเห็นว่าเป็นภัยคุกคามที่อาจเกิดขึ้นสำหรับหลายโครงการที่ใช้ libwebp รวมถึง 1Password, Signal, Safari, Mozilla Firefox, Microsoft Edge, Opera และ Native เว็บเบราว์เซอร์ Android

รายชื่อแอพพลิเคชัน และซอฟแวร์ต่าง ๆ บางส่วน ที่อาจได้รับผลกระทบจากช่องโหว่ของ libwebp

Google Chrome

Microsoft Edge

Safari

Opera

Slack

Discord

GitHub Desktop

Mozilla FireFox

1Password

balenaEtcher

Basecamp 3

Beaker (web browser)

Bitwarden

CrashPlan

Cryptocat (discontinued)

Eclipse Theia

FreeTube

GitKraken

Joplin

Keybase

Lbry

Light Table

Logitech Options+

LosslessCut

Mattermost

Microsoft Teams

ผู้ไม่ประสงค์ดีใช้งาน Cisco Webex ที่ปลอมขึ้น ใน Google Ads เพื่อหลอกให้เป้าหมายดาวน์โหลดลงบนเครื่อง

ผู้ไม่ประสงค์ดีใช้ Ads ของ Google เป็นช่องทางในการหลอกเป้าหมายที่ค้นหาซอฟต์แวร์ Webex โดยสร้างโฆษณาที่ดูเสมือนจริงมาก ซึ่งเมื่อทำการดาวน์โหลด จะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ที่มีมัลแวร์ BatLoader

โดย Webex คือโปรแกรมการประชุมทางวิดีโอ และการติดต่อสื่อสาร ซึ่งเป็นส่วนหนึ่งของกลุ่มผลิตภัณฑ์ของ Cisco ส่วนมากใช้โดยองค์กร และธุรกิจต่าง ๆ ทั่วโลก

Malwarebytes รายงานว่าแคมเปญ Malvertising ถูกฝังอยู่ใน Google Search เป็นเวลากว่า 1 สัปดาห์ โดยกลุ่มผู้ไม่ประสงค์ดีที่คาดว่ามาจากเม็กซิโก

มัลแวร์ที่แฝงใน Google Ad

Malwarebytes รายงานว่าพอร์ทัลดาวน์โหลด Webex ปลอมใน Google Ads อยู่อันดับสูงสุดของผลการค้นหาคำว่า "webex" ซึ่งสิ่งที่ทำให้ดูน่าเชื่อถือคือการใช้โลโก้ Webex จริง และแสดง URL ที่ถูกต้อง "webex.com" ทำให้ดูไม่ต่างจากโฆษณาจริงของ Cisco โดยผู้ไม่ประสงค์ดีอาศัยช่องโหว่ใน Google Ad platform's tracking template ซึ่งช่วยให้สามารถเปลี่ยนเส้นทางได้ตามที่ต้องการโดยไม่ผิดกฎของ Google

ทั้งนี้ Google ระบุว่าผู้ลงโฆษณาอาจใช้ tracking template กับ URL parameters ที่กำหนด "final URL" ตามข้อมูลผู้ใช้จากอุปกรณ์ ตำแหน่ง และอื่น ๆ ที่เกี่ยวข้องกับการโต้ตอบต่อโฆษณา ซึ่งตามนโยบายได้กำหนดว่า URL ที่แสดงของโฆษณา และ URL สุดท้ายต้องเป็นของโดเมนเดียวกัน แต่ก็ยังทำให้ tracking template เปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์นอกโดเมนที่ระบุได้ โดยในกรณีนี้ ผู้ไม่ประสงค์ดีใช้ Firebase URL ("trixwe[.]page[.]link") เป็น tracking template ซึ่งมี URL สุดท้ายเป็น https://www[.]webex[.]com หากมีการคลิกโฆษณาแล้ว เป้าหมายจะถูกเปลี่ยนเส้นทางไปยังลิงก์ "trixwe.page[.]" ซึ่งจะ Filter นักวิจัย และโปรแกรมสำหรับรวบรวมข้อมูลอัตโนมัติออก

หลังจากนั้นจะเปลี่ยนเส้นทางต่อไปยัง "monoo3at[.]com" ซึ่งจะมีการตรวจสอบเพิ่มเติมอีกครั้ง หากเป้าหมายเป็นเป้าหมายของผู้ไม่ประสงค์ดี จะถูกนำไปยัง "webexadvertisingoffer[.]com" และส่วนที่ไม่ใช่เป้าหมายจะไปยังเว็บไซต์ที่ถูกต้องแทน

โปรแกรมติดตั้ง Webex ปลอม

หากเป้าหมายเข้าถึงหน้า Webex ปลอม และคลิกที่ปุ่มดาวน์โหลด จะได้รับตัวติดตั้ง MSI ที่จะรันคำสั่ง PowerShell เพื่อติดตั้งมัลแวร์ BatLoader ซึ่งจะดึงข้อมูล, ถอดรหัส และดำเนินการเพย์โหลดมัลแวร์ DanaBot เพิ่มเติมในท้ายที่สุด ซึ่ง DanaBot เป็นโทรจันที่แพร่กระจายมาตั้งแต่ปี 2561 โดยมีความสามารถในการขโมยรหัสผ่าน, การจับภาพหน้าจอ, โหลดโมดูลแรนซัมแวร์, ปิดบังการรับส่งข้อมูลกับ C2 และเปิดช่องทางการเข้าถึงโดยตรงให้กับผู้ไม่ประสงค์ดีผ่าน HVNC โดยผู้ที่โดน DanaBot จะถูกขโมยข้อมูลส่วนตัวส่งไปยังผู้ไม่ประสงค์ดี ซึ่งจะใช้ข้อมูลเหล่านี้เพื่อการโจมตีเพิ่มเติม หรือขายให้กับผู้ไม่ประสงค์ดีรายอื่น

ดังนั้น เมื่อต้องการค้นหาซอฟต์แวร์ต้นฉบับ สิ่งที่ควรทำคือข้ามการค้นหาที่เป็น Google Ads และดาวน์โหลดโดยตรงจากเว็บไซต์ที่มีชื่อเสียง และเชื่อถือได้เท่านั้น

ล่าสุด Google ให้ข้อมูลกับ BleepingComputer ว่า "การปกป้องเป้าหมายถือเป็นสิ่งสำคัญสูงสุด โดย Google จะไม่อนุญาตให้ผู้ลงโฆษณาบนแพลตฟอร์มเผยแพร่ซอฟต์แวร์ที่เป็นอันตราย ปัจจุบันได้ตรวจสอบโฆษณาที่เป็นปัญหา และดำเนินการอย่างเหมาะสมกับบัญชีที่เกี่ยวข้องเรียบร้อยแล้ว"

Ref : bleepingcomputer

ผู้ไม่ประสงค์ดีใช้ Google AMP ในการโจมตีแบบฟิชชิง

มีการเตือนจากผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ ถึงรูปแบบการโจมตีแบบฟิชชิงที่เพิ่มขึ้นโดยการใช้ Google Accelerated Mobile Pages (AMP) ในทางที่ผิดเพื่อหลบเลี่ยงการตรวจสอบจากมาตรการรักษาความปลอดภัยของอีเมล และเข้าถึงอีเมลของพนักงานในองค์กร

Google AMP เป็นเฟรมเวิร์ก HTML แบบโอเพ่นซอร์สที่ร่วมกันพัฒนาโดย Google และพาร์ทเนอร์กว่า 30 ราย เพื่อทำให้เนื้อหาเว็ปโหลดเร็วขึ้นบนอุปกรณ์มือถือ

โดยโฮสต์ AMP pages จะอยู่บนเซิร์ฟเวอร์ของ Google ซึ่งเนื้อหา และสื่อมีเดียบางส่วนจะถูกโหลดไว้ล่วงหน้าเพื่อให้ส่งข้อมูลได้เร็วขึ้น

แนวคิดการใช้ Google AMP URLs ที่ฝังอยู่ในอีเมลฟิชชิง คือการทำให้มาตรการรักษาความปลอดภัยของอีเมลไม่มองว่าอีเมลฟิชชิงดังกล่าวเป็นอันตราย หรือน่าสงสัย เนื่องจากมาจากระบบของ Google

โดย URLs ของ AMP จะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ฟิชชิงที่เป็นอันตราย และขั้นตอนนี้ยังเพิ่มความซับซ้อนสำหรับการตรวจสอบอีกด้วย

ข้อมูลจาก Cosense ในช่วงกลางเดือนกรกฎาคม ซึ่งแสดงให้เห็นว่าผู้ไม่ประสงค์ดีอาจมีการปรับใช้วิธีการโจมตีดังกล่าว

Cofense ระบุในรายงานว่า ประมาณ 77 % URL ของ Google AMP ถูกพบอยู่ในโดเมน google.com และ 23% อยู่ในโดเมน google.co.uk

โดย path "google.com/amp/s/" จะเป็น URL ปกติ ทำให้การบล็อก URL นี้อาจส่งผลกระทบต่อการใช้งาน Google AMP อื่น ๆ ทั้งหมด อย่างไรก็ตามการตั้งค่าให้มีการตรวจสอบ URL เหล่านี้ก็ถือว่ามีความสำคัญ และอย่างน้อยก็เพื่อเตือนผู้รับให้ระวังการเปลี่ยนเส้นทางของ URL ที่อาจเป็นอันตราย

การโจมตีแบบพิเศษ

Cosense ระบุว่าผู้ไม่ประสงค์ดีที่ใช้ Google AMP ยังมีการใช้เทคโนโลยีเพิ่มเติมเพื่อช่วยหลีกเลี่ยงการตรวจจับที่ช่วยทำให้การโจมตีนั้นสำเร็จมากขึ้น

ในหลายกรณีที่พบโดย Cofense ตัวอย่าง เช่น ผู้ไม่ประสงค์ดีจะใช้อีเมล HTML แบบใช้รูปภาพแทนเนื้อหาข้อความแบบดั้งเดิมเป็นการสร้างความสับสนให้กับเครื่องมือที่ใช้สแกนข้อความที่ตรวจสอบข้อความฟิชชิงในเนื้อหาข้อความในอีเมล

อีกตัวอย่างหนึ่ง ผู้ไม่ประสงค์ดีใช้ขั้นตอนการเปลี่ยนเส้นทางโดยใช้ URL ของ Microsoft.com เพื่อหลอกเหยื่อไปยังโดเมน Google AMP และสุดท้ายไปยังไซต์ฟิชชิงจริง

สุดท้าย ผู้ไม่ประสงค์ดีใช้บริการ CAPTCHA ของ Cloudflare เพื่อขัดขวางการวิเคราะห์ฟิชชิงอัตโนมัติของ security bots เพื่อป้องกันไม่ให้ซอฟต์แวร์สามารถรวบรวมข้อมูลได้

โดยรวมแล้ว ในปัจจุบันผู้ไม่ประสงค์ดีด้วยรูปแบบฟิชชิงมักใช้วิธีหลบเลี่ยงการตรวจจับหลากหลายวิธี ซึ่งทำให้เครื่องมือรักษาความปลอดภัย (security tools) ตรวจจับภัยคุกคาม และบล็อกการโจมตีได้ยากขึ้น

Ref : bleepingcomputer

Chrome ออกแพตช์ Update ของ browser เวอร์ชัน 113 แก้ไขช่องโหว่ระดับ Critical

    ในสัปดาห์นี้ Google ประกาศอัปเดตด้านความปลอดภัยของ Chrome browser เวอร์ชัน 113 เพื่อแก้ไขช่องโหว่ทั้งหมด 12 รายการ ซึ่งเป็นช่องโหว่ที่อยู่ในระดับ Critical 6 รายการ

    โดยช่องโหว่ 1 รายการ ที่ถูกรายงานโดยนักวิจัยภายนอกมีหมายเลข CVE-2023-2721 รายงานโดย Guang Gong นักวิจัยจาก Qihoo 360 ซึ่งระบุว่าช่องโหว่ดังกล่าวเป็นช่องโหว่ use-after-free ใน Navigation ที่ทำให้ผู้โจมตีสามารถสร้างเพจ HTML ที่ออกแบบมาเป็นพิเศษ เพื่อหลอกให้ผู้ใช้งานเข้าถึงเพจเพื่อส่งผลให้เกิด heap corruption จากช่องโหว่ดังกล่าว

    ช่องโหว่ Use-after-free คือช่องโหว่ของหน่วยความจำ ซึ่งเกิดขึ้นเมื่อ pointer ไม่ถูกเคลียร์ภายหลังจากการจัดสรรหน่วยความจำ ซึ่งอาจนำไปสู่การสั่งรันโค้ดที่เป็นอันตราย, การปฏิเสธการให้บริการ (denial-of-service) หรือการทำให้ข้อมูลเสียหายได้ โดยใน Chrome ปัญหาของ use-after-free นั้นสามารถถูกนำมาใช้ประโยชน์เพื่อเจาะผ่าน browser sandbox ได้

    การอัปเดตล่าสุดของ Chrome ได้แก้ไขปัญหาของ use-after-free ซึ่งเป็นช่องโหว่ 3 รายการที่มีการรายงานจากนักวิจัยภายนอก และช่องโหว่ทั้งหมดมีระดับความรุนแรงสูง ซึ่งส่งผลกระทบต่อ Autofill UI, DevTools และ Guest View components ของเบราว์เซอร์

    เบราเซอร์เวอร์ชันใหม่ยังแก้ไข confusion bug ระดับความรุนแรงสูงใน V8 JavaScript engine และช่องโหว่ระดับความรุนแรงปานกลางใน WebApp Installs โดย Chrome เวอร์ชันล่าสุดคือ 113.0.5672.126 สำหรับ macOS และ Linux และเวอร์ชัน 113.0.5672.126/.127 สำหรับ Windows

คำแนะนำ

ทำการ Uparde Google Chrome เป็น 113ฃฃ

DotRunpeX” Malware ตัวใหม่ ถูกใช้เพื่อแพร่กระจายมัลแวร์ตัวอื่นผ่านทาง Google Ad

    นักวิจัยของ Check Point บริษัทด้านความปลอดภัยทางไซเบอร์ เปิดเผยการค้นพบ loader malware ที่มีความสามารถในการแพร่กระจายมัลแวร์ผ่านทาง Google Ad ที่มีชื่อว่า DotRunpeX

การโจมตีของ DotRunpeX Malware

 นักวิจัยระบุว่า Hacker จะเริ่มต้นจากการนำเว็บไซต์อันตรายที่มีการติดตั้งโทรจันซึ่งปลอมแปลงเป็นซอฟต์แวร์ยอดนิยมต่างๆ เช่น AnyDesk และ LastPass ไปแสดงในหน้าค้นหาบน Google Ad เพื่อให้เหยื่อทำการกดลิงค์เข้าถึงเว็บดังกล่าว และดาวน์โหลด DotRunpeX ไปยังเครื่องเป้าหมาย

    DotRunpeX ถูกพบครั้งแรกในเดือนตุลาคม 2022 เป็นมัลแวร์ที่สามารถแทรกคำสั่งอันตรายที่เขียนด้วย .NET โดยใช้เทคนิค Process Hollowing เพื่อแพร่กระจายมัลแวร์ประเภทต่าง ๆ เช่น Agent Tesla , Ave Maria , BitRAT , FormBook , LokiBot , NetWire , Raccoon Stealer , RedLine Stealer , Remcos , Rhadamanthys และ Vidar โดยมัลแวร์ที่อยู่ในรายการเหล่านี้ ยังมีความสามารถในการป้องกัน หรือปิดระบบป้องกันด้านความปลอดภัยอีกด้วย รวมถึง DotRunpeX ยังมีการใช้ procexp.sys ในการโจมตีช่องโหว่ และยกระดับสิทธิเป็น kernel mode อีกด้วย

    Check Point คาดการณ์ว่า DotRunpeX อาจจะมีส่วนเกี่ยวข้องกับกลุ่ม Hacker ชาวรัสเซีย เนื่องจากพบว่ามัลแวร์ที่ถูกใช้แพร่กระจายบ่อย ๆ คือ RedLine, Raccoon, Vidar, Agent Tesla และ FormBook

thehackernews

Google ได้ออกมาอัปเดตแพทต์ฉุกเฉินเพื่อแก้ไขช่องโหว่ Zero-day ใน Google Chrome

 

ทาง Google ได้ออกมาอัปเดตแพทต์ฉุกเฉินสำหรับเว็บเบราว์เซอร์ Google Chrome เวอร์ชันเดสก์ท็อป

เพื่อแก้ไขช่องโหว่ Zero-day เป็นช่องโหว่ช่องที่แปดที่พบในปีนี้

    CVE-2022-4135 เป็นช่องโหว่ Heap buffer overflow ใน GPU ต่ำกว่าเวอร์ชัน 107.0.5304.121 ลงมา ซึ่งค้นพบเมื่อวันที่ 22 พฤศจิกายน 2022

Heap buffer overflow เป็นช่องโหว่ในหน่วยความจำที่ส่งผลให้ข้อมูลถูกเขียนไปยังตำแหน่งที่ไม่ได้รับการอนุญาตโดยไม่ต้องตรวจสอบ

    ผู้ไม่ประสงค์ดีอาจใช้ช่องโหว่ Heap buffer overflow เพื่อเขียนทับหน่วยความจำของแอปพลิเคชันเพื่อจัดการเส้นทางการดำเนินการ ส่งผลให้เข้าถึงข้อมูลได้ไม่จำกัดหรือมีการเรียกใช้โค้ดที่เป้นอันตราย

ทาง Google ได้จำกัดการเข้าถึงรายละเอียดเกี่ยวกับช่องโหว่และลิงก์เพื่อป้องกันไม่ให้ผู้ไม่ประสงค์ดี

ทำการโจมตีในรูปแบบอื่น ๆ ผ่านทางช่องโหว่ดังกล่าว จนกว่าผู้ใช้งานส่วนใหญ่จะได้รับการอัปเดตแพทต์แก้ไข

คำแนะนำ

อัปเดต Google Chrome เป็นเวอร์ชัน 107.0.5304.121/122 สำหรับ Windows และ 107.0.5304.122 สำหรับ Mac และ Linux  สามารถทำได้โดยการไปที่การตั้งค่า (Settings) → เกี่ยวกับ Chrome (About Chrome) → รอให้การดาวน์โหลดเวอร์ชันล่าสุดเสร็จสิ้น → รีสตาร์ทโปรแกรม

Ref : bleepingcomputer

15,000 sites hacked for massive Google SEO poisoning campaign

 เว็ปไซต์กว่าหมื่นไซต์ถูกโจมตีเพื่อสร้างการเข้าถึง google Search Engine Optimization(SEO)

    พบผู้ไม่ประสงค์ดี ใช้การโจมตีแบบ Search Engine Optimization(SEO) ของ Google โดยเว็ปไซต์ที่ถูกโจมตีมีมากกกว่า 15,000 ไซต์ โดยส่งไปยังเว็ป ที่มีใว้เพื่อ ตอบ ข้อสงสัย ปลอม ๆ ถูกพบโดย Sucuri รายงานออกมาว่า เว็ปไซต์ที่ถูกโจมตี จะมีไฟล์กว่า 20,000 ไฟล์ที่เป็นช่องทางนำไปสู่เว็ปที่ปลายทางที่ hacker ตั้งไว้โดยเว็ปไซต์ที่มีถูกโจมตีมากที่สุดจะเป็น WordPress

    ผู้เชี่ยวชาญด้านความปลอดภัยเชื่อว่า เป้าหมายของการโจมตีนี้คือ การเพิ่มจำนวนคนที่เขามาใช้งานเว็ปไซต์ ถาม - ตอบ ปลอมเพื่อให้ระดับในการมองเห็นในหน้าค้นหาของ Google มากขึ้น

รูปแบบการโจมตีนี้ทำให้มีโอกาสที่ในอนาคตจะมีการ แฝงมัลแวร์ หรือเว็ปฟิชชิงได้ ตัวอย่างเช่น การเข้าถึงเป็น ads.txt ไฟล์บนเว็ป เป็นอีกช่องทางที่เพิ่มช่องทางในการเข้าถึง การโฆษณาที่ปลอมได้มากขึ้น

WordPress กำลังถูกโจมตี

    Sucuri รายงานว่า hacker แก้ไข WordPress PHP เช่น  'wp-singup.php','wp-cron.php','wp-settings.php','wp-mail.php','wp-blog-header.php' เป็นการเพิ่มช่องทางเข้าสู่ เว็ป ถาม - ตอบ ปลอม ในบางครั้ง จะมีการวาง PHP ไฟล์บนเว็ปไซต์ที่ต้องการ โดยการสุ่มชื่อ หรือชื่อหลอก อย่างเช่น 'wp-login.php'. ไฟล์ที่มีการถูกโจมตี หรือ มีการดัดแปลง จะมี code ที่เป็นอันตรายจะคอยเช็ค เมื่อมีผู้ใช้ล๊อคอินเข้าสู่ WordPress หรือไม่ และถ้าไม่ได้เข้าถึง WordPress

    ผู้ใช้จะถูกนำไปยัง  https://ois.is/images/logo-6.png URL. แต่ browser จะไม่เปิด URL เป็นไฟล์รูปอย่างที่ส่งไป แต่จะมี JavaScript โหลดขึ้นมาแทน และจะส่งผู้ใช้ไปยังเว็ปไซต์ ถาม - ตอบ ที่เข้าผ่าน google เพื่อเพิ่มยอดผู้ใช้แทน การใช้ Google search และคลิ๊ก URL เข้าไปจะเหมือนการเพิ่มสถิติในการเข้าดูของ URL นั้น ๆ ผ่าน Google ส่งผลให้เว็ปไซต์นั้นๆ ดูมีความนิยมมากขึ้นทำให้สามารถคนหาเจอได้ง่ายมากยิ่งขึ้น

Funtion ที่ใช้ 'window.location.href เป็นฟังชั่นที่ใช้ในการเปลี่ยนเส้นทางจากที่ใช้งาน Google search ไปที่โดเมนใดโดเมนหนึ่งเช่น

• en.w4ksa[.]com
• peace.yomeat[.]com
• qa.bb7r[.]com
• en.ajeel[.]store
• qa.istisharaat[.]com
• en.photolovegirl[.]com
• en.poxnel[.]com
• qa.tadalafilhot[.]com
• questions.rawafedpor[.]com
• qa.elbwaba[.]com
• questions.firstgooal[.]com
• qa.cr-halal[.]com
• qa.aly2um[.]com

    การโจมตีผ่านหลายโดเมนย่อยข้างต้น การที่จะ แสดงทั้งหมดมันจะยาวเกินไป รวมทั้งหมดไว้ 1,137 รายการไว้ที่ link เว็ปไซต์ส่วนใหญ่จะถูกซ่อนไว้ใน Server Cloudflare Sucuri ไม่สามารถเข้าไปตรวจสอบการโจมตีนี้ได้ทั้งหมด Sucuri ไม่สามารถระบุได้ว่าการโจมตีนี้สามารถเปลี่ยนเส้นทางการเข้าได้อย่างไร อย่างไรก็ตาม มันอาจจะเกินจากความอ่อนแอของการเข้าถึง หรือ จากการเจาะหา password ของ admin

เพราะฉะนั้น แนะนำให้ทำการอัพเกรด Wordpress และเว็ปไซต์ CMS ให้เป็นเวอร์ชั่นล่าสุด และมีการยืนยัน 2 ชั้น กับรหัส admin

bleepingcomputer