คลังเก็บป้ายกำกับ: SECURITY

ผลสำรวจรหัสผ่านหลุด ผู้ใช้ 86% ใช้รหัสผ่านซ้ำกับบริการอื่น แม้รหัสผ่านจะซับซ้อน

Troy Hunt นักวิจัยความปลอดภัยไซเบอร์ผู้ก่อตั้งโครงการ Pwned Passwords นำรหัสผ่านหลุกดจากเว็บ CashCrate ที่หลุดมาตั้งแต่ปี 2016 มาสำรวจพบว่า 86% ของรหัสผ่านที่หลุดออกมาซ้ำกับรหัสที่หลุดออกมาก่อนหน้านี้แล้ว

รหัสผ่านที่ซ้ำกับที่หลุดมาก่อนหน้าส่วนมากเป็นรหัสผ่านคุณภาพแย่ เช่น “123456”, “qwerty”, หรือ “password” แต่ที่น่าสนใจคือมีรหัสผ่านคุณภาพดีที่ยาวกว่าขั้นต่ำที่แนะนำ มีความซับซ้อนมากพอ แต่กลับมีการใช้งานในบริการที่รหัสผ่านหลุดมาก่อนแล้ว เช่น “D*lishmars3an0eei3”, “20921147_bronzegoddess”, “anchorage alaska”, หรือ “i like to have sex”

รหัสผ่านจำนวนหนึ่งแม้จะยาวพอ และไม่อยู่ในฐานข้อมูลมาก่อนแต่ก็คาดเดาได้ง่าย เพราะใช้ชื่อเว็บเอง เช่น “cashcrate123”, “CashCrate”, “mycashcrate”

คำแนะนำการยืนยันตัวตนผู้ใช้ของ NIST หรือ NIST 800-63B ระบุให้ผู้ให้บริการต้องตรวจสอบรหัสผ่านว่าเป็นรหัสผ่านคุณภาพต่ำหรือไม่ โดยควรตรวจจากฐานข้อมูลที่หลุดออกมาก่อนหน้า, คำในพจนานุกรม, การใช้ตัวอักษรซ้ำๆ, และการใช้รหัสผ่านเป็นชื่อผู้ใช้หรือชื่อบริการ

ฐานข้อมูล Pwned Passwords เปิดให้ดาวน์โหลดไปใช้งานในองค์กรได้ โดยมีรหัสผ่านรวม 306 ล้านรายการ

ที่มา – Troy Hunt

Topics: 

from:https://www.blognone.com/node/102571

Advertisements

พบมัลแวร์ตัวใหม่ ‘VPNFilter’ มุ่งโจมตี Router มีเหยื่อแล้วกว่า 5 แสนราย

นักวิจัยด้านความมั่นคงปลอดภัยจาก Cisco ได้พบกลุ่มเราเตอร์กว่า 5 แสนอุปกรณ์ที่ตกเป็นเหยื่อของมัลแวร์ตัวใหม่ชื่อว่า ‘VPNFilter’ โดยมัลแวร์ตัวนี้มีความซับซ้อนในการปฏิบัติการสูง สามารถทำรอดจากการบูตระบบ ค้นหาส่วนประกอบของ SCADA หรือทำลายฟังก์ชันของ Firmware จนอุปกรณ์ไม่สามารถใช้งานได้ นอกจากนี้มัลแวร์สามารถปฏิบัติการได้ในเราเตอร์หลายยี่ห้อรวมถึงอุปกรณ์ NAS ด้วย เช่น Linksys, Microtik, Netgear, TP-Link, QNAP และอื่นๆ เป็นต้น

credit : Bleepingcomputer.com

มัลแวร์มีความสามารถปฏิบัติการอย่างซับซ้อน

ทาง Cisco ได้แบ่งระดับขั้นการทำงานเป็น 3 ช่วงคือ

1.ติดอุปกรณ์ตามปกติ แต่สามารถรอดจากการบูตอุปกรณ์ได้ โดยทางรายงานของ Symantec กล่าวว่าสถานะนี้ยังสามารถจัดการกับมัลแวร์ได้ด้วย Hard Reset หรือ Factory Reset นั่นเอง

2.โมดูลของมัลแวร์ไม่สามารถรอดจากการรีบูตโดยมันจะไปดาวน์โหลดโมดูลมาใหม่เมื่อมีการรีบูต โมดูลนี้มีหน้าที่หลักเพื่อการรองรับ Plugin ในขั้นตอนต่อไป

3.Plugin ที่ติดตั้งเพิ่มมีความสามารถคือ การดักจับแพ็กเกจของเครือข่ายและขัดขวางทราฟฟิค ติดตามโปรโตคอล Modbus ของระบบ SCADA และ สื่อสารกับเซิร์ฟเวอร์ควบคุมผ่านเครือข่าย TOR

นอกจากนี้ในช่วงที่ 2 ถือเป็นภัยที่อันตรายที่สุดเพราะทาง Cisco ได้ระบุว่ามันมีฟังก์ชันทำลายส่วนของ Firmware ที่อยู่ในอุปกรณ์โดยการเขียนทับส่วนของ โค้ด Firmware ที่ต้องใช้เพื่อเริ่มทำงานด้วยข้อมูลที่ยุ่งเหยิง หลังจากนั้นจะรีบูตและอุปกรณ์จะไม่สามารถใช้ได้ “การกระทำจากมัลแวร์ไม่สามารถแก้ไขได้โดยผู้ใช้งานทั่วไปส่วนใหญ่เพราะมันต้องอาศัยความรู้ทางเทคนิคและเครื่องมือที่ผู้ใช้ธรรมดาไม่น่าจะมี“–นักวิจัยจาก Cisco กล่าว โดยผู้โจมตีสามารถใช้มัลแวร์นี้ได้หลายทางดังนี้

  • สอดแนมเครือข่ายหรือขัดขวางดักจับข้อมูลที่ละเอียดอ่อน เช่น Credential ต่างๆ
  • ใช้เครือข่าย Botnet จากอุปกรณ์ที่แฮ็กได้บังหน้าต้นตอการโจมตีอันตรายอื่นๆ
  • ทำลายเราเตอร์จำนวนมากโดยเฉพาะในยูเครนให้ใช้การไม่ได้
  • สอดแนมเครือข่ายที่มุ่งไปยังอุปกรณ์ SCADA และสร้างมัลแวร์พิเศษเพื่อโจมตีโครงสร้างพื้นฐานทางอุตสาหกรรม (ICS)

มีอุปกรณ์ตกเป็นเหยื่อแล้วกว่า 5 แสนอุปกรณ์ ไม่เว้นแม้แต่อุปกรณ์ NAS

จากการสังเกตการณ์ของ Symantec พบเหยื่อดังนี้ Linksys E1200, Linksys E2500, Linksys WRVS4400N, Microtik RouterOS for Cloud Router: Version 1016, 1036, และ 1072, Netgear DGN2200, Netgear R6400, Netgear R700, Netgear R8000, Netgear WNR1000, Netgear WNR2000, QNAP TS251, QNAP TS439 Pro, QNAP อื่นๆ ที่รันซอฟต์แวร์ QTS และ TP-Link R600 VPN

มีอุปกรณ์ตกเป็นเหยื่อกว่า 54 ประเทศเพราะมีสัญญานมาตั้งแต่ปี 2016 แล้วแต่ไม่กี่อาทิตย์ที่ผ่านมา Cisco พบปริมาณเพิ่มมากอย่างผิดสังเกตในยูเครน รวมถึงมีเซิร์ฟเวอร์เข้ามาจัดการเครือข่าย Bot เหล่านี้ด้วย หลายฝ่ายต่างคาดการณ์กันไปที่รัสเซียเพราะไปพบโค้ดที่คล้ายกับมัลแวร์ BlackEnergy ที่เคยโจมตีตัดไฟฟ้าในยูเครนเมื่อช่วงปี 2015-2016 ซึ่งตอนนั้นกระทรวงความมั่นคงสหรัฐชี้ไปที่รัสเซียว่าเป็นผู้ก่อเหตุ อย่างไรก็ตามถ้าพูดถึงเหตุการณ์สำคัญในยูเครนที่อาจจะตกเป็นเป้าได้ก็มีการจัดแข่งขันฟุตบอล UEFA Champions League รอบสุดท้ายที่จะเกิดที่ Kiev วันเสาร์ที่ 26 พฤษภาคม นี้

ในส่วนของการบรรเทาปัญหาทาง Sophos แนะนำว่า

  • ติดต่อ ISP เพื่ออัปเดต Firmware ของเราเตอร์ที่ใช้งานอยู่
  • ปิดการเชื่อมต่อช่วยเหลือจากระยะไกลผ่านอินเทอร์เน็ตเข้ามา เปิดเฉพาะตอนจำเป็นต้องจริงๆ เท่านั้น
  • อย่าใช้ชื่อบัญชีและรหัสผ่านดั้งเดิมที่ติดมาตั้งแต่แรกใหเเปลี่ยนเป็นชื่อและรหัสผ่านใหม่ที่แข็งแรง
  • ใช้งานเว็บที่เป็น HTTPS เพราะมันเป็นถูกเข้ารหัสแบบ end-to-end ดังนั้นเมื่อถูกดักจับข้อมูลไปก็อ่านเนื้อหาไม่ได้ง่ายๆ

from:https://www.techtalkthai.com/new-malware-found-named-vpnfilter-focus-on-router-devices/

True IDC ผ่านมาตรฐาน PCI-DSS เพิ่มความแกร่งบริการ Data Center ต่อยอดรองรับธุรกิจด้านการเงินเต็มรูปแบบ

True IDC ผู้นำธุรกิจ Data Center และ Cloud Computing แบบครบวงจรในประเทศไทย ผ่านการตรวจประเมินมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศที่เกี่ยวข้องกับการชำระเงินผ่านบัตรอย่าง PCI-DSS 3.2 พร้อมให้บริการ Infrastructure แก่สถาบันการเงิน ธุรกิจประกันภัย และผู้ให้บริการ Payment Gateway ที่ต้องการความมั่นคงปลอดภัยสูง

ในยุค Thailand 4.0 นี้ ปฏิเสธไม่ได้ว่าการทำธุรกรรมทางการเงินผ่านระบบออนไลน์ โดยเฉพาะอย่างยิ่งการชำระเงินผ่านบัตรเครดิตและบัตรเดบิตถูกใช้งานอย่างแพร่หลาย เพื่อเพิ่มความมั่นใจให้กับลูกค้ากลุ่มธุรกิจด้านการเงินที่ใช้บริการ Data Center ของ True IDC ทางบริษัทจึงได้พัฒนาการปฏิบัติงาน และเพิ่มกฎระเบียบต่างๆ ทางด้านความมั่นคงปลอดภัยสำหรับรองรับการทำธุรกรรมด้วยบัตรเครดิตและบัตรเดบิตโดยยึดหลักมาตรฐานสากล คือ PCI-DSS 3.2

ผ่านการประเมินมาตรฐาน PCI-DSS 3.2

Payment Card Industry – Data Security Standard (PCI-DSS) 3.2 เป็นมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศล่าสุดสำหรับองค์กรที่ต้องจัดการกับการชำระเงินผ่านบัตรเครดิตและบัตรเดบิต ซึ่งออกโดย Payment Card Industry Security Standard Council (PCI SSC) มีจุดประสงค์เพื่อช่วยให้องค์กร บริษัท และร้านค้าต่างๆ สามารถควบคุมมาตรฐานในการเก็บรักษา ประมวลผล และรับส่งข้อมูลบัตรได้อย่างมั่นคงปลอดภัย ส่งผลให้สามารถป้องกันการฉ้อโกงซึ่งเกิดจากการทำธุรกรรมผ่านบัตรชำระเงินได้

“Data Center ของ True IDC ผ่านการประเมินมาตรฐาน PCI-DSS 3.2 ภายใต้ขอบเขต “Data Center Co-location” มุ่งเน้นที่การออกแบบและปรับปรุง Data Center ให้เป็นไปตามข้อกำหนดของ PCI-DSS เพื่อให้บริการ Infrastructure แก่ลูกค้าอย่างมั่นคงปลอดภัย โดยเราพัฒนา Data Center ศูนย์เมืองทองให้สอดคล้องกับมาตรฐานของ PCI-DSS โดยเน้นที่ความมั่นคงปลอดภัยทางกายภาพและการบริหารจัดการพนักงานที่เกี่ยวข้อง ซึ่งทั้งหมดผ่านการตรวจประเมินโดย ControlCase LLC ซึ่งเป็นหน่วยรับรอง (Certified Body: CB) จากประเทศอินเดีย ตั้งแต่ 5 เมษายน 2018 ที่ผ่านมา” — คุณชัย สุทธาสา หัวหน้าทีมมาตรฐานและข้อบังคับของ True IDC กล่าว

คุณชัย สุทธาสา หัวหน้าทีมมาตรฐานและข้อบังคับของ True IDC

พร้อมให้บริการ Data Center มาตรฐาน PCI-DSS แก่ลูกค้าทุกประเภท

PCI-DSS เป็นมาตรฐานสำคัญสำหรับธุรกิจออนไลน์ที่ให้บริการการชำระเงินผ่านบัตรเครดิตและบัตรเดบิต ไม่ว่าจะเป็นสถาบันการเงิน ธนาคาร บริษัทประกัน ร้านค้าออนไลน์ (e-commerce) ผู้ให้บริการ Payment Gateway รวมไปถึงผู้ให้บริการระบบ Cloud ซึ่งการพัฒนา Data Center ให้สอดคล้องกับมาตรฐาน PCI-DSS นี้จะช่วยควบคุมความมั่นคงปลอดภัยของข้อมูลผู้ถือบัตรชำระเงินทั้งในส่วนของ Physical และ Personnel ที่เกี่ยวข้องกับ Data Center อย่างเข้มงวด เพื่อลดความเสี่ยงด้านการรั่วไหลและปลอมแปลงข้อมูลบัตรชำระเงิน รวมไปถึงช่วยให้การตรวจประเมินโดย Auditor ภายนอกสามารถทำได้ง่ายขึ้นอีกด้วย ดังนั้นลูกค้าที่ใช้บริการ Co-location ของ True IDC สามารถมั่นใจได้ว่าอุปกรณ์ทั้งหมดของตนที่อยู่ภายใน Data Center จะได้รับปลอดภัยตามมาตรฐานอย่างแน่นอน

เดินหน้าปรับปรุง Data Center ในเครือตามมาตรฐานสากลต่อ

True IDC ให้ความสำคัญกับลูกค้าเป็นหลักจึงมุ่งหน้าพัฒนาการต่อยอดมาตรฐาน PCI DSS ไปยังบริการอื่นๆ เพื่อให้มั่นใจว่าลูกค้ากลุ่มธุรกิจด้านการเงินสามารถใช้บริการที่มีความมั่นคงปลอดภัยสูงได้อย่างวางใจ นอกจากมาตรฐาน PCI-DSS แล้วยังให้ความสำคัญกับมาตรฐานด้านอื่นๆ ที่เกี่ยวข้องกับ Data Center ไม่ว่าจะเป็นมาตรฐาน ISO, CSA STAR หรือมาตรฐานจากสถาบัน Uptime ซึ่ง True IDC มีแผนในการขยายมาตรฐานต่างๆให้ครอบคลุมการให้บริการศูนย์ Data Center ให้ครบทั้ง 4 แห่ง

ผู้ที่สนใจใช้บริการ Data Center และระบบ Cloud ของ True IDC สามารถติดต่อเพื่อสอบถามรายละเอียดเพิ่มเติมได้ที่ sales@trueidc.co.th หรือ โทร 02-9980-6611

from:https://www.techtalkthai.com/true-idc-data-center-pci-dss-certified/

FBI ยึดโดเมนกระจายโมดูลมัลแวร์ VPNFilter, ระบุกลุ่มในรัสเซียอยู่เบื้องหลัง

หลังจาก Cisco Talos เผยแพร่รายงานมัลแวร์ VPNFilter เมื่อวานนี้ วันนี้ทาง FBI ก็ยื่นขอหมายยึดโดเมน toknowall.com ซึ่งเป็นหนึ่งในสามช่องทางสำหรับกระจายมัลแวร์ขั้นที่สอง

VPNFilter มีช่องทางแพร่มัลแวร์ขั้นที่สองด้วยการให้มัลแวร์ขั้นแรกดาวน์โหลดภาพจาก Photobucket หรือเว็บ ToKnowAll.com เมื่อดาวน์โหลดภาพที่ระบุได้แล้ว จะนำค่าไอพีจากใน EXIF มาดาวน์โหลดมัลแวร์ขั้นที่สองอีกครั้ง

เอกสารยื่นขอหมายศาลยึดโดเมนของ FBI ระบุว่าได้ติดตามหน่วยงานพัฒนามัลแวร์ตัวนี้มานานแล้ว โดยตั้งชื่อว่า Sofacy Group เริ่มมีปฎิบัติการมาตั้งแต่ปี 2007 กลุ่มนี้รู้จักกันในชื่ออื่นอีกหลายชื่อ เช่น APT28, Sandworm, X-Agent, Pawn Storm, Fancy Bear, และ Sednit คาดว่ากลุ่มนี้มาจากรัสเซีย การโจมตีก่อนหน้านี้คือมัลแวร์ BlackEnergy

กลุ่ม Safocy มีเป้าหมายหลักเป็นรัฐบาล, ทหาร, องค์กรความปลอดภัย, และเป้าหมายข่าวกรองอื่นๆ

ที่มา – ArsTechnica

from:https://www.blognone.com/node/102543

Facebook ปรับปรุงการยืนยันตัวตน 2 ขั้นตอน ไม่ต้องใช้เบอร์โทรศัพท์ก็ได้

Facebook ประกาศปรับปรุงขั้นตอนการยืนยันตัวตนสองปัจจัย (Two-Factor Authentication) จากเดิมที่ต้องผูกบัญชีกับเบอร์โทรศัพท์มือถือ เพื่อใช้รับ sms ยืนยันตัวตนขั้นตอนสุดท้าย มาเป็นสามารถเลือกไม่ใส่เบอร์โทรศัพท์มือถือก็ได้ มีรายละเอียดดังนี้

  • ปรับปรุงหน้าเปิดใช้งาน Two-Factor Authentication ให้เข้าใจง่ายขึ้น แนะนำเป็นขั้นตอนแบบทีละขั้น
  • สามารถเปิดใช้งาน Two-Factor Authentication ได้โดยไม่ต้องใส่เบอร์โทรศัพท์มือถือ และสามารถเลือกใช้แอพยืนยันตัวตนภายนอก เช่น Google Authenticator หรือ Duo Security แทนได้

เพื่อให้การใช้งาน Facebook ปลอดภัย ก็ควรเปิดใช้งาน Two-Factor Authenticatio โดยทำได้ที่หน้า facebook.com/settings และเลือก Security and Login

อ่านเพิ่มเติม: ใช้ Facebook อย่างไรให้ปลอดภัย: เสริมความแข็งแกร่งให้บัญชีของคุณไม่ถูกแฮ็กง่ายๆ

ที่มา: Facebook

Facebook

from:https://www.blognone.com/node/102530

Cisco Talos รายงานมัลแวร์ VPNFilter ระบาดในอุปกรณ์เน็ตเวิร์ค กระจายแล้วกว่า 500,000 อุปกรณ์ใน 54 ประเทศ

Cisco Talos เปิดเผยรายงานวิจัยที่อยู่ระหว่างการศึกษาถึงมัลแวร์ที่ชื่อว่า VPNFilter แพร่ระบาดในอุปกรณ์เน็ตเวิร์คสำหรับสำนักงานขนาดเล็ก เช่น แบรนด์ Linksys, Mikrotik, NETGEAR, TP-Link ไปจนถึงสตอเรจอย่าง QNAP การแพร่กระจายเป็นวงกว้างกระทบอุปกรณ์แล้วกว่า 500,000 ตัวใน 54 ประเทศ โดยยังไม่แน่ชัดว่าตัวมัลแวร์ใช้ช่องโหว่อะไรเจาะเข้าเครื่องเหยื่อ แต่เครื่องที่ตกเป็นเหยื่อมักใช้ซอฟต์แวร์เก่าที่มีช่องโหว่ที่รับรู้โดยทั่วกันอยู่แล้ว

VPNFilter เป็นมัลแวร์ที่ทำงานสองขั้นตอน ขั้นตอนแรกคือการฝังมัลแวร์หลัก ที่ทำงานแม้เครื่องรีบูตไปแล้ว เมื่อฝังมัลแวร์ได้มันจะติดต่อเซิร์ฟเวอร์สั่งการเพื่อขอมัลแวร์ขั้นที่สองมารันต่อไป

มัลแวร์ขั้นที่สองจะไม่ฝังตัวถาวรแต่หายไปเมื่อรีบูตเครื่อง อย่างไรก็ดี ฟังก์ชั่นการทำงานของมันหลากหลายแล้วแต่เซิร์ฟเวอร์จะสั่งการ ตั้งแต่การเก็บข้อมูลเครื่องของเหยื่อ, โหลดไฟล์, สั่งรันคำสั่ง, จัดการอุปกรณ์, ไปจนถึงทำลายอุปกรณ์ให้ทำงานต่อไปไม่ได้ (เขียนข้อมูล 0 ลง 5000 ไบต์แรกของดิสก์) โดยขั้นที่สองจะเชื่อมต่อและดาวน์โหลดไฟล์ผ่าน Tor

เครื่องของเหยื่อบางเครื่องยังได้รับมัลแวร์ขั้นที่สาม ทำหน้าที่ดักฟังข้อมูลที่วิ่งผ่านอุปกรณ์ ขโมยข้อมูลการเข้าเว็บ, และตรวจการสั่งงานอุปกรณ์อุตสาหกรรมผ่านโปรโตคอล SCADA ทาง Talos คาดว่าขั้นที่สามนี้น่าจะมีโมดูลหลากหลายรูปแบบ และแบบที่ทาง Talos ยังไม่พบก็น่าจะมีอีกจำนวนหนึ่ง

ผู้พัฒนามัลแวร์ VPNFilter พัฒนาโดยทำให้การหาต้นตอของมัลแวร์ทำได้ยากอย่างยิ่ง ผู้พัฒนาและใช้มัลแวร์พยายามปิดบังตัวตน ทั้งเซิร์ฟเวอร์สั่งการและโครงสร้างอื่นๆ ไว้หลายชั้น

หากองค์กรสงสัยว่าจะติดมัลแวร์ ทาง Talos แนะนำรีบูตอุปกรณ์เน็ตเวิร์ค และรีเซ็ตการตั้งค่าเป็นค่าจากโรงงาน, อัพเดตเฟิร์มแวร์ให้ทันสมัยเสมอ ทั้งอุปกรณ์เครือข่ายและสตอเรจต่างๆ

ที่มา – Talos

No Description

Topics: 

from:https://www.blognone.com/node/102528

เตือนมัลแวร์ Roaming Mantis เริ่มพุ่งเป้า Apple iOS และ PC ทั่วโลก

หลังจากที่ Roaming Mantis ซึ่งเป็นมัลแวร์ DNS Hijacking เริ่มแพร่ระบาดเมื่อปลายเดือนเมษายนที่ผ่านมา โดยพุ่งเป้าอุปกรณ์ Android ในเขตภูมิภาคเอเชียตะวันออกเฉียงใต้ ล่าสุดพบว่าแฮ็กเกอร์เบื้องหลังมัลแวร์ได้ทำการอัปเกรดให้สามารถโจมตีอุปกรณ์ Apple iOS และ Desktop ไปยังทั่วโลกได้แล้ว

Kaspersky Lab ผู้ให้บริการโซลูชัน Endpoint Protection ชั้นนำของโลก ได้ออกมาแจ้งเตือนถึงแคมเปญมัลแวร์ Roaming Mantis หลังจากที่ก่อนหน้านี้ใช้แพร่กระจาย Banking Malware บนอุปกรณ์ Android พบว่าล่าสุดแฮ็กเกอร์ได้เพิ่มการโจมตีแบบ Phishing บนอุปกรณ์ Apple iOS และ Cryptocurrency Mining Script สำหรับผู้ใช้อุปกรณ์ PC นอกจากนี้ ยังขยายฐานโจมตีจากภูมิภาคเอเชียตะวันออกเฉียงใต้ รวมไปถึงเกาหลีใต้ จีน บังกลาเทศ และญี่ปุ่น ไปสู่ยุโรปและตะวันออกกลางอีกด้วย

เช่นเดียวกับแคมเปญก่อนหน้านี้ Roaming Mantis ยังคงแพร่กระจายตัวผ่านทาง DNS Hijacking โดยแฮ็กเกอร์จะทำการเปลี่ยนการตั้งค่า DNS บนอุปกรณ์ Router เพื่อเปลี่ยนเส้นทางทราฟฟิกของผู้ใช้มายังเว็บไซต์ของตนแทน ซึ่งพร้อมที่จะแพร่กระจาย Banking Malware, โจมตีแบบ Phishing หรือรันสคริปต์ Cryptocurrency Mining โดยขึ้นอยู่กับประเภทของอุปกรณ์ที่ใช้งาน

นอกจากนี้ เพื่อหลบหลีกระบบตรวจจับด้านความมั่นคงปลอดภัย เว็บไซต์ของแฮ็กเกอร์ยังทำการสร้าง Packages แบบเรียลไทม์และไฟล์ APK แบบพิเศษ พร้อมตั้งชื่อไฟล์เป็นตัวเลขสุ่ม 8 ตัวอีกด้วย เมื่อเหยื่อเผลอติดตั้งไฟล์ APK ดังกล่าว แฮ็กเกอร์จะเข้าควบคุมอุปกรณ์ Android ผ่านการใช้คำสั่ง Backdoor 19 คำสั่ง เช่น SendSms, setWifi, gcont, lock, onRecordAction, call, get_apps, ping และอื่นๆ

ถ้าเหยื่อใช้ Apple iOS มัลแวร์จะเปลี่ยนเส้นทางมาที่เว็บ Phishing “security.apple.com” ที่ทำหน้าตาเหมือนเว็บ Apple พร้อมหลอกถามชื่อผู้ใช้ รหัสผ่าน หมายเลขบัตรเครดิต วันหมดอายุ และรหัส CVV แต่ถ้าเหยื่อใช้ Desktop มัลแวร์จะรันสคริปต์ Cryptocurrency Mining บนเว็บไซต์โดยใช้ Coinhive เพื่อแอบขุดเหรียญ Monero แทน

Credit: TheHackerNews.com

Kaspersky Lab แนะนำให้ผู้ใช้อัปเดตเฟิร์มแวร์ล่าสุดของอุปกรณ์ Router และใช้รหัสผ่านที่แข็งแกร่งเพื่อป้องกัน Raoming Mantis โจมตี รวมไปถึงยกเลิกการใช้ฟีเจอร์ Remote Administration ด้วย

ที่มา: https://thehackernews.com/2018/05/routers-dns-hijacking.html

from:https://www.techtalkthai.com/roaming-mantis-targets-apple-ios-and-desktops/