คลังเก็บป้ายกำกับ: THREATS_UPDATE

เทรนด์ใหม่ Ransomware เริ่มให้บริการแบบ as-a-Service ฟรีบน Dark Web

McAfee ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยแบบบูรณาการ ออกมาแจ้งเตือน Ransomware-as-a-Service แบบใหม่ที่เปิดให้บริการฟรีบนตลาดมืดออนไลน์โดยที่ไม่ต้องลงทะเบียนใดๆ ชี้อาจเป็นแนวโน้วใหม่ที่ช่วยให้ตลาด Ransomware ขยายตัวมากยิ่งขึ้น

Ransomware ดังกล่าวปรากฏตัวขึ้นเป็นครั้งแรกเมื่อเดือนกรกฎาคม 2017 โดยมีนามสกุลไฟล์เป็น .shifr หลังจากนั้นได้เปลี่ยนมาเป็นนามสกุล .cypher ในปัจจุบัน ให้บริการในรูปของ Ransomware-as-a-Service กล่าวคือ แฮ็กเกอร์จะเป็นผู้พัฒนา Ransomware แล้วเปิดให้เหล่าอาชญากรไซเบอร์ที่ไม่มีความรู้ด้านเทคนิคนำ Ransomware ดังกล่าวไปเผยแพร่ต่อ และนำค่าไถ่ที่ได้มาหารแบ่งกัน

โมเดลของ Ransomware-as-a-Service อย่างเช่น RaaSberry จะเป็นบริการในรูปของ Subscription รายเดือน ในขณะที่ Ransomware อื่นๆ ผู้ใช้จะต้องทำการลงทะเบียน ก่อนที่จะนำ Ransomware ไปปรับแต่งข้อความและจำนวนเงินที่เรียกค่าไถ่เพื่อนำไปแพร่กระจายต่อ อย่างไรก็ตาม ล่าสุด McAfee พบว่ามี Ransomware-as-a-Service ที่เปิดให้บริการฟรีโดยที่ไม่ต้องลงทะเบียนใดๆ อาชญากรไซเบอร์เพียงแค่ใส่ Bitcoin Wallet Address และจำนวนเงินที่ต้องการเรียกค่าไถ่ ก็สามารถสร้าง Ransomware เป็นของตนเองแล้วนำไปใช้ได้ทันที โดยที่แฮ็กเกอร์ผู้พัฒนาคิดส่วนแบ่งเพียงแค่ 10% จากค่าไถ่ที่ได้เท่านั้น

เมื่อ Ransomware ดังกล่าวถูกแพร่กระจายเข้าคอมพิวเตอร์ของเหยื่อ มันจะเริ่มต้นด้วยการตรวจสอบการเชื่อมต่ออินเทอร์เน็ต ถ้าเหยื่อกำลังต่อเน็ตอยู่ Ransomware จะติดต่อไปยัง C&C Server เพื่อดาวน์โหลดกุญแจที่จะใช้เข้ารหัสข้อมูล หลังจากที่เข้ารหัสไฟล์บนเครื่องแล้ว จะต่อท้ายนามสกุลไฟล์ด้วย .cypher พร้อมแสดงข้อความเรียกค่าไถ่ดังรูปด้านล่าง

ที่น่าสนใจคือ Ransomware นี้จะรันบนคอมพิวเตอร์แบบ 64 bits เท่านั้น และถูกพัฒนาโดยภาษา Golang (Go Language จาก Google) ซึ่งไม่ได้ค้นพบบ่อยนักสำหรับมัลแวร์ในปัจจุบัน นอกจากนี้ไฟล์มัลแวร์ยังมีขนาดใหญ่ถึง 5.5 MB คาดว่าทำให้การวิเคราะห์ทำได้ยาก และช่วยให้มัลแวร์สามารถลบเลี่ยงระบบป้องกันมัลแวร์บางประเภทได้

จากการที่ Ransomware-as-a-Service เปิดให้บริการฟรีโดยไม่จำเป็นต้องลงทะเบียนใดๆ และมีขั้นตอนในการสร้างมัลแวร์ที่ง่าย ในขณะที่แฮ็กเกอร์นักพัฒนาหักค่าส่วนแบ่งต่ำ อาจเป็นตัวจุดกระแสให้อาชญากรไซเบอร์หันมาใช้บริการ Ransomware-as-a-Service มากขึ้นได้ในอนาคต ทังองค์กรและผู้ใช้ทั่วไปควรหามาตรการควบคุมเพื่อรับมือ Ransomware ให้ดี

รายละเอียดเชิงเทคนิค: https://securingtomorrow.mcafee.com/mcafee-labs/free-ransomware-available-dark-web/

from:https://www.techtalkthai.com/free-ransomware-as-a-service-on-dark-web/

Advertisements

แฮ็กเกอร์ทำรายได้กว่า $3 ล้าน USD จากการติดตั้งตัวขุดเหมือง Monery บนเซิร์ฟเวอร์ Jenkins

นักวิจัยจาก Check Point ได้พบการใช้ช่องโหว่ของ Jenkins (เซิร์ฟเวอร์โอเพ่นซอร์ส Automation ที่ถูกเขียนในภาษา Java ซึ่งนิยมใช้ในกระบวนการพัฒนาซอฟต์แวร์เพื่อทดสอบโค้ดใหม่ๆ ก่อนนำขึ้นระบบจริง) ซึ่งเป็นที่นิยมในหมู่นักพัฒนาเว็บหรือแม้กระทั่งในระดับองค์กรเพื่อการติดตั้งตัวขุดเหมือง Monero บนเซิร์ฟเวอร์เหล่านั้นและแฮ็กเกอร์สามารถทำการขุดเหรียญไปกว่า 10,800 เหรียญหรือคิดเป็นเงินประมาณ $3.4 ล้าน USD

credit : Bleeping Computer

แฮ็กเกอร์ได้ใช้ช่องโหว่หมายเลข CVE-2017-1000353 ที่เกิดขึ้นกับ Jenkins ทำให้แฮ็กเกอร์สามารถรันโค้ดอันตรายได้โดยไม่ต้องพิสูจน์ตัวตนเพื่อดาวน์โหลดและติดตั้งตัวขุดเหมือง Monero (minerxmr.exe) ได้ โดยทาง Check Point ได้พบว่า IP ที่ปรากฏมาจากจีนและยังถูกระบุว่าเป็นส่วนนึงของเครือข่ายรัฐบาลใน Huaian  อีกด้วย แต่ยังไม่เป็นที่แน่ชัดว่าเป็นเซิร์ฟเวอร์ของแฮ็กเกอร์เองหรือเป็นเซิร์ฟเวอร์ที่ถูกแทรกแทรงเพื่อวางตัวขุดเหมืองไว้อีกทีหนึ่ง นอกจากนี้นักวิจัยยังได้รายงานเพิ่มเติมว่าระบบปฎิบัติการส่วนใหญ่ของ Jenkins instance เป็น Windows

อย่างไรก็ตามมีผลวิจัยเมื่อประมาณกลางเดือนมกราคมที่ผ่านมา โดยนักวิจัยด้านความมั่นคงปลอดภัยชื่อ Mikail Tunç รายงานว่ามีเซิร์ฟเวอร์ Jenkins ที่มีความเสี่ยงและออนไลน์อยู่กว่า 25,000 เซิร์ฟเวอร์

ที่มา : https://www.bleepingcomputer.com/news/security/hacker-group-makes-3-million-by-installing-monero-miners-on-jenkins-servers/

from:https://www.techtalkthai.com/hacker-leverage-vulnerbility-jenkins-server-install-monero-miner/

แฮ็กเกอร์ใช้การโจมตี Word แบบใหม่ ‘Multi-stage’ ได้ผลแม้ไม่เปิด Macro

นักวิจัยจาก Trustwave SpiderLabs ผู้เชี่ยวชาญด้านภัยคุกคามพบเทคนิคใหม่ซึ่งทำให้ผู้ใช้ติดมัลแวร์ โดยเทคนิคนี้มีความซับซ้อนหลายลำดับชั้น ขั้นแรกจะมีการส่งอีเมลเอกสาร Word ไปหาผู้ใช้งานก่อนและเพียงแค่เปิดเอกสารเท่านั้นซึ่งไม่ต้องใช้ความสามารถของ Macro ที่มัลแวร์เดิมๆ นิยมใช้เมื่อมีโจมตีผ่านทาง Word หลังจากนั้นมันจะเริ่มกระบวนการอื่นเพิ่มเติมจนสุดท้ายผู้ใช้จะติดมัลแวร์ที่เข้าไปขโมย Credentials ภายในเครื่อง

credit : Bleeping Computer

 

เทคนิคที่เกิดขึ้นเป็นดังนี้

  • เหยื่อได้รับไฟล์อีเมลสแปมที่มี DOCX แนบมาด้วย
  • เหยื่อดาวน์โหลด DOCX ซึ่งภายในมี OLE ไฟล์อยู่ด้วย (เป็นเทคโนโลยีของ Microsoft ที่ทำให้สามารถเพิ่มข้อมูลอื่นๆ ไปยังเอกสารได้) และเปิดไฟล์
  • OLE จะดาวน์โหลดและเปิดไฟล์ RTF (Document File Format ของ Microsoft) ที่แสร้งว่าเป็น DOC ไฟล์
  • DOC ไฟล์จะใช้ CVE-2017-11882 ช่องโหว่ของ Equation Editor เพื่อรันคำสั่ง MSHTA (Microsoft HTML Application โปรแกรมที่มักลงมาควบคู่กับ IE ในชื่อ mshta.exe รองรับภาษาเช่น VBScript หรือ JScript ด้วย)
  • คำสั่ง MSTA จะไปดาวน์โหลด HTA ไฟล์ที่มี VBScript อยู่เพื่อแตกเป็น PowerShell Script ออกมา
  • PowerShell Script ดาวน์โหลดและติดตั้งตัวขโมยรหัสผ่าน
  • ขโมยรหัสผ่านจาก Browser, Email และตัวลูกข่าย FTP และอัปโหลดข้อมูลกลับไปยังเซิร์ฟเวอร์ภายนอก

ภายในเนื้ออีเมลที่หลอกล่อหน้าตาจะเป็นไปตามรูปด้านล่าง ความน่ากังวลคือเทคนิคซับซ้อนเหล่านี้อาจจะถูกแฮ็กเกอร์กลุ่มอื่นประยุกต์ใช้ได้ในอนาคต อย่างไรก็ตามวิธีการป้องกันตัวคือหมั่นอัปเดตแพตซ์ Windows และ Office ไว้เสมอจะเห็นได้ว่ามีการใช้ช่องโหว่เข้ามาร่วมด้วยในเทคนิคใหม่ครั้งนี้ ผู้สนใจสามารถติดตามดูการโจมตีฉบับเต็มได้ที่นี่

credit : Bleeping Computer

ที่มา : https://www.bleepingcomputer.com/news/security/multi-stage-word-attack-infects-users-without-using-macros/

from:https://www.techtalkthai.com/new-multi-stage-word-attack-bypass-macro-enable/

หลอกร่วมลงทุน ICO เชิดเงินหนีกว่า 140 ล้านบาท

กลายเป็นอุทาหรณ์เตือนใจสำหรับหลายๆ คนที่ต้องการลงทุน ICO (Initial Coin Offereing) กับบริษัทเปิดใหม่ หลังจากที่ LoopX บริษัท Startup ทางด้าน Cryptocurrency หลอกผู้ใช้ให้ร่วมลงทุน ICO ก่อนปิดเว็บไซต์, Facebook และ YouTube พร้อมเชิดเงินหนีกว่า $4,500,000 (ประมาณ 140 ล้านบาท) โดยไม่บอกไม่กล่าว

Credit: The-Contributor

LoopX เป็นบริษัท Startup รายใหม่ที่เปิดให้ผู้ที่สนใจเข้าลงทุน ICO เพื่อพัฒนาแอปพลิเคชันสำหรับแลกเปลี่ยนเงินดิจิทัลบนอุปกรณ์พกพาโดยใช้อัลกอริธึมประสิทธิภาพสูงที่ตนเป็นผู้ออกแบบเอง ซึ่งก่อนเกิดเหตุนั้น LoopX ระบุว่า ขณะนี้รวบรวมเงินทุนได้แล้วกว่า $4,500,000 จากเป้าหมาย $12,000,000 ที่ตั้งไว้ และมีการส่งอีเมลไปยังผู้ที่ร่วมลงทุนและลูกค้าเมื่อสัปดาห์ที่ผ่านมาว่า “พวกเราเตรียมที่จะเซอร์ไพรส์อะไรบางอย่างกับพวกคุณตลอดสัปดาห์นี้ คอยติดตามให้ดี” แต่ปรากฏว่าการเซอร์ไพรส์ดังกล่าวกลับกลายเป็นการปิดเว็บไซต์, Facebook, Telegram และ YouTube พร้อมเชิดเงินลงทุนทั้งหมดหนีไปอย่างไร้ร่องรอย

อย่างไรก็ตาม หลังเกิดเหตุพบว่าบัญชี Twitter (ที่คาดว่าเป็น) ของ LoopX กลับปรากฏทวีตซึ่งเป็นลิงค์ไปยังบทความเกี่ยวกับการเชิดเงินหนีของตนบนเว็บไซต์ของ TheNextWeb ซึ่งตอนนี้ยังไม่เป็นที่ทราบแน่ชัดว่าทาง LoopX เป็นคนทวีตลิงค์เองหรือมีใครสวมรอยสร้างบัญชีขึ้นมา

ก่อนหน้านี้ เมื่อเดือนที่ผ่านมา มีผู้ใช้บางรายสังเกตเห็นถึงความผิดปกติบางอย่างบนการดำเนินการของ LoopX และพยายามที่จะเตือนนักลงทุนถึงความเสี่ยงที่อาจจะเกิดขึ้นบน Reddit Channel ของ LoopX ซึ่งกลับกลายเป็นเรื่องจริงขึ้นมา ส่งผลให้ตอนนี้หลายคนที่ลงทุนกับ LoopX พยายามติดตามการเคลื่อนไหวของเงินทุนจากบัญชีสู่บัญชีบนฟอรัมของ BitcoinTalk และพยายามรวมตัวกันเพื่อยื่นเรื่องฟ้องร้องต่อศาล โดยหวังว่าเจ้าหน้าที่ที่เกี่ยวข้องจะช่วยตามรอยเจ้าของ LoopX และจับตัวมาดำเนินคดีได้

ที่มา: https://www.bleepingcomputer.com/news/cryptocurrency/loopx-startup-pulls-ico-exit-scam-and-disappears-with-4-5-million/

from:https://www.techtalkthai.com/loopx-pulls-ico-exit-scam-and-steal-140-million/

เตือนช่องโหว่ Zero-day บน Telegram Messenger แพร่มัลแวร์ทำ Crypto-mining

Alexey Firsh นักวิจัยด้านความมั่นคงปลอดภัยจาก Kaspersky Lab ออกมาแจ้งเตือนถึงช่องโหว่ Zero-day บน Telegram แอปพลิเคชันรับส่งข้อความเข้ารหัสแบบ End-to-end ยอดนิยม ซึ่งถูกแฮ็กเกอร์ให้แพร่กระจายมัลแวร์เพื่อลอบขุดเหรียญดิจิทัล Monero และ ZCash

ช่องโหว่นี้ค้นพบครั้งแรกเมื่อเดือนตุลาคม 2017 ที่ผ่านมา โดยส่งผลกระทบเฉพาะซอฟต์แวร์ Telegram บน PC ที่รันระบบปฏิบัติการ Windows เท่านั้น ล่าสุดพบว่ามีแฮ็กเกอร์บางกลุ่มใช้ช่องโหว่ดังกล่าวเพื่อหลอกผู้ใช้ให้ดาวน์โหลดมัลแวร์ประเภท Cryptominer มาติดตั้ง แล้วขโมยทรัพยากรเครื่องของเหยื่อไปขุดเหรียญ Monero และ ZCash รวมไปถึงติดตั้ง Backdoor เพื่อให้แฮ็กเกอร์สามารถเข้าควบคุมเครื่องจากระยะไกลได้

จากการตรวจสอบพบว่าช่องโหว่ดังกล่าวมีสาเหตุมาจากการที่ซอฟต์แวร์ Telegram บน Windows จัดการกับ RLO (Right-to-left Override) Unicode Character (U+202E) ไม่ดีเพียงพอ ทำให้เกิดการอ่านชื่อไฟล์ผิดพลาด เป็นการอ่านชื่อไฟล์กลับหลัง เช่น ไฟล์ชื่อ photo_high_re*U+202E*gnp.js ซึ่งเป็นไฟล์ JavaScript จะถูกอ่านเป็น photo_high_resj.png ซึ่งเป็นไฟล์รูปภาพแทน ผลลัพธ์คือ ผู้ใช้อาจเข้าใจผิดนึกว่าดาวน์โหลดไฟล์รูปภาพเข้ามา แต่กลับกลายเป็นสคริปต์มัลแวร์แทน

Firsh เชื่อว่ามีเพียงแฮ็กเกอร์ชาวรัสเซียเท่านั้นที่โจมตีผ่านช่องโหว่ดังกล่าว เนื่องจากรายงานการโจมตีที่ได้รับมานั้นเกิดเหตุขึ้นที่รัสเซียประเทศเดียว และร่องรอยหลายๆ อย่างของมัลแวร์ชี้ให้เห็นถึงความเชื่อมโยงกับแฮ็กเกอร์รัสเซีย

Kaspersky Lab ได้รายงานช่องโหว่ที่พบนี้ไปยัง Telegram ซึ่งก็ได้ออกแพตช์เพื่ออุดช่องโหว่เป็นที่เรียบร้อยแล้ว ผู้ใช้สามารถป้องกันตนเองได้โดยการไม่ดาวน์โหลดหรือเปิดไฟล์จากแหล่งที่ไม่ทราบที่มาแน่ชัด

ที่มา: https://thehackernews.com/2018/02/hackers-exploit-telegram-messenger-zero.html

from:https://www.techtalkthai.com/telegram-zero-day-vuln-leads-to-cryptocurrency-mining/

Botnet แบบใหม่เจาะระบบ 2 ชั้นและบายพาส Firewall

Ankit Anubhav นักวิจัยจาก NewSky Security ผู้ให้บริการด้านความมั่นคงปลอดภัยไซเบอร์ได้ค้นพบ Botnet ตัวใหม่ที่มีการใช้ผสานการใช้ 2 ช่องโหว่ร่วมกันเพื่อเจาะระบบโดยให้ชื่อว่า ‘DoubleDoor’ โดยหนึ่งในช่องโหว่นี้ใช้เข้าถึง Firewall Juniper และอีกช่องโหว่เพื่อเข้าถึง เร้าเตอร์ ZyXEL 

credit : iamwire.com

รายละเอียดของช่องโหว่

  • ช่องโหว่ที่ถูกนำมาใช้คือ CVE-2015-7755 เป็นช่องโหว่ที่อยู่บนซอฟต์แวร์ ScreenOS ของ Juniper Firewall ที่แฮ็กเกอร์สามารถฝังรหัสผ่าน ‘<<< %s(un=’%s’) = %u’ โดยมีชื่อ Username เป็นอะไรก็ได้ในการเข้าถึงอุปกรณ์ผ่าน Telnet และ SSH
  • CVE-2016-10401 ช่องโหว่ในเร้าเตอร์ ZyXEL รุ่น PK5001Z โดยแฮ็กเกอร์สามารถใช้ admin:CenturyL1nk (หรืออื่นๆ) และได้รับสิทธิ์เป็น Super-user ด้วยการใช้รหัสผ่าน ‘zyad5001’ เพื่อเข้าควบคุมอุปกรณ์

Anubhav กล่าวว่านี่เป็นครั้งแรกที่ Botnet มีการใช้ช่องโหว่เพื่อเจาะระบบ 2 ชั้น ขั้นแรกเจาะผ่าน Juniper Netscreen Firewall และค้นหาเครือข่ายภายในที่มีเร้าเตอร์ ZyXEL ต่อไป

DoubleDoor ยังไม่รุนแรงมากนัก ณ ตอนนี้

Botnet ตัวนี้มีไอพีเริ่มต้นมาจากเกาหลีใต้ แม้ว่ามันอาจจะยังไม่มีอันตรายมากนักในตอนนี้เพราะเหมือนว่ามันจะอยู่ในขั้นตอนทดสอบและพัฒนาเท่านั้น นอกจากนี้การโจมตียังมีจำนวนไม่มากเพราะกลุ่มเป้าหมายก็ค่อนข้างเฉพาะเจาะจงเนื่องจากพบได้ในกลุ่มบริษัทเป็นส่วนใหญ่ อย่างไรก็ตาม DoubleDoor ยังคงไม่ได้ทำอะไรพิเศษหลังจากเข้าถึงอุปกรณ์ ZyXEL ได้แล้ว “มันอาจจะกำลังทดสอบหรือคอยเก็บเกี่ยวอุปกรณ์เพื่อเป็นส่วนหนึ่งของการทำอะไรบางอย่างที่ยิ่งใหญ่ก็ได้นะ“–Anubhav กล่าว ที่น่ากังวลคือเทคนิคการเจาะระบบหลายชั้นต่างหากที่น่ากลัวว่ามันอาจจะถูกใช้ในการคุกคามของมัลแวร์อื่นต่อไปในอนาคต

ที่มา : https://www.bleepingcomputer.com/news/security/doubledoor-botnet-chains-exploits-to-bypass-firewalls/

from:https://www.techtalkthai.com/doubledoor-botnet-new-technique-leverage-couple-of-vulnerabilities-bypass-firewall/

[PR] ไอบีเอ็มเตือนภัยสแปมเจาะกลุ่มเป้าหมายช่วงวาเลนไทน์

IBM X-Force เปิดเผยถึงอีเมลสแปมนัดเดทโดย Necurs ที่มีการปล่อยออกมาจำนวนมากนับตั้งแต่ช่วงกลางเดือนมกราคมจนถึงวันวาเลนไทน์ โดยในเวลาเพียงสองสัปดาห์ ได้มีการส่งอีเมลสแปมนี้บนเครือข่ายคอมพิวเตอร์ทั่วโลกมากถึง 230 ล้านฉบับ

Necurs เป็นบ็อตเน็ตที่มักสร้างแคมเปญสแปมขนาดใหญ่ และเชื่อว่าควบคุมบ็อตซอมบี้อยู่กว่าหกล้านตัว โดยบ็อตเน็ต Necurs มีการเชื่อมต่อกับกลุ่มมัลแวร์ที่แพร่กระจายโทรจันในธุรกิจธนาคาร เช่น Dridex และ TrickBot รวมถึงแรนซัมแวร์อย่าง Locky, Scarab และ Jaff

Necurs ไม่ใช่มัลแวร์ชนิดที่เรามักได้ยิน แต่ผู้ที่ปล่อย Necurs ทำการแพร่กระจายสแปมนี้โดยมีเป้าหมายเพื่อก่อให้เกิดความพยายามในการฉ้อโกงรูปแบบอื่นๆ ด้วย เช่น แคมเปญการหลอกลวงด้วยคำพูดหวาน ๆ

ในปี 2017 X-Force ตั้งข้อสังเกตว่า Necurs ส่งการหลอกลวงเรื่องหุ้นแบบ “pump & dump” จำนวนมาก โดยออกแบบมาเพื่อให้ผู้รับเชื่อว่าหุ้นเพนนีกำลังจะมีมูลค่าสูงขึ้น เมื่อมีคนซื้อหุ้นมากพอและมูลค่าของหุ้นเพิ่มขึ้นจริง ผู้ที่ปล่อยสแปมจะขายหุ้นของตนเองทั้งหมดในจุดที่พวกเขาทำกำไรได้ หุ้นเพนนีจะราคาตกลงจนถึงมูลค่าที่แท้จริงของตลาด และผู้ที่ซื้อหุ้นไว้จะพ่ายแพ้โดยไม่ได้รับสิ่งใดตอบแทน ในช่วงต้นปี 2018 บ็อตเน็ตยังเป็นส่วนหนึ่งของกระบวนการหลอกลวงเกี่ยวกับ cryptocurrency และล่าสุดอีเมลสแปมนัดเดทก็เป็นแคมเปญหลักอีกตัวหนึ่งที่เชื่อมโยงกับ Necurs

 

ปล่อยสแปมจำนวนมากช่วงเทศกาล

การล่อเหยื่อตามช่วงเทศกาลอาจถือเป็นคุณลักษณะอันดับต้นๆ ของอีเมลสแปม โดยในช่วงไตรมาสแรกของปีมักเกิดการระบาดของอีเมลสแปมช่วงเทศกาลภาษี และการหลอกลวงด้วยคำพูดหวานๆ ที่เริ่มต้นขึ้นในเดือนมกราคมจนถึงวันวาเลนไทน์

ในแคมเปญปัจจุบันของ Necurs ได้มีการส่งอีเมลสแปมแล้วมากกว่า 230 ล้านข้อความภายในสองสัปดาห์ โดยบ็อตเน็ตได้กระจายข้อความนับสิบๆ ล้านข้อความในสองช่วงหลัก คือช่วง 16-18 มกราคม และช่วง 27 มกราคม-3 กุมภาพันธ์

 

 

สแปมที่เลือกใช้คำได้เป็นอย่างดี

จากข้อความที่ได้ถูกส่งออกไปทางอีเมลแล้วมากกว่า 30 ล้านฉบับในแต่ละวัน พบว่าล้วนเป็นข้อความอีเมลสั้นๆ ซึ่งน่าจะมาจากหญิงชาวรัสเซียที่อาศัยอยู่ในสหรัฐอเมริกา โดยอีเมลเหล่านี้เลือกใช้ถ้อยคำได้เป็นอย่างดี ซึ่งต่างจากอีเมลสแปมทั่วไปที่มักมีการสะกดคำและไวยากรณ์ที่ไม่ถูกต้อง ทั้งนี้ อีเมลสแปมแต่ละฉบับจะมาจากอีเมลแอดเดรสแบบใช้แล้วทิ้งที่มีชื่อของผู้ส่งที่ถูกแอบอ้างอยู่ โดยจะขอให้ผู้รับติดต่อผู้เขียนกลับโดยใช้อีเมลแอดเดรสอีกอันที่มีชื่อของบุคคลอื่นอยู่

 

 

ข้อความจำนวนมากบ่งชี้ว่าผู้รับเหล่านี้มีโปรไฟล์อยู่บน Facebook หรือ “Badoo” ซึ่งเป็นแอพนัดเดทที่โด่งดังเป็นอันดับสามในรัสเซีย และเปิดให้ผู้ใช้จากทั่วโลกเข้าถึงได้

การหลอกลวงด้วยคำพูดหวานๆ และข้อความสแปมเชิญชวนจากสตรีถือเป็นรูปแบบเก่า โดยอีเมลเหล่านี้มักประกอบด้วยข้อความพื้นฐานซึ่งดูเหมือนไม่มีอะไรและไม่ได้ดึงดูดความสนใจนัก อย่างไรก็ตาม ปริมาณอีเมลที่ส่งออกจำนวนมากก็สามารถนำสู่เปอร์เซ็นต์การตอบกลับของผู้รับจำนวนมากด้วยเช่นกัน โดยแคมเปญนี้จะดึงดูดให้เหยื่อแชร์รูปภาพและข่มขู่พวกเขาเพื่อบังคับให้จ่ายเงินหรือจบลงด้วยการได้รับมัลแวร์

 

อิทธิพลของสแปม Necurs

X-Force สามารถบันทึกปริมาณอีเมลสแปมนี้ได้มากกว่า 230 อีเมลจากบ็อตเน็ต Necurs ซึ่งเป็นบ็อตเน็ตที่ทำให้เกิดความสามารถในการแพร่กระจายอีเมลขยะจำนวนมาก

สแปมถูกส่งจาก IP แอดเดรสที่แตกต่างกันประมาณ 950,000 IP แอดเดรส โดยผู้ส่งอันดับต้นๆ นั้นเป็นแอดเดรสที่โฮสต์ผ่าน ISP ของปากีสถาน IP และแอดเดรส (103.255.5.117) เหล่านี้ถูกรายงานว่าเป็นสแปมเมอร์ถึง 655 ครั้ง ณ เวลาที่เขียนบทความนี้ อีกทั้งยังถูกจัดอันดับว่ามีความเสี่ยงระดับ 10 จากคะแนนเต็ม 10 อ้างอิงตาม IBM X-Force Exchange

ผู้ส่งอีเมลเหล่านี้โฮสต์ IP ถึง 55% ที่เวียดนามและอินเดีย โดยการสับเปลี่ยนทรัพยากรที่ใช้ในแคมเปญและต้นทางของ IP ไม่ได้ก่อให้เกิดประโยชน์ใดๆ กับกลุ่มสแปมเมอร์ หรือช่วยหลีกเลี่ยงการขึ้นบัญชีดำและการบล็อก และคาดว่าวิธีการนี้จะไม่ถูกนำมาใช้ในครั้งถัดไป

 

 

Necurs อาจถือเป็นอาชญากรไซเบอร์ที่แพร่กระจายสแปมที่ใหญ่ที่สุด นับตั้งแต่ได้มีการกำจัดบ็อตเน็ต Andromeda และ Avalanche ลง โดยจากการเฝ้าติดตาม X-Force พบว่า Necurs สามารถดึงดูดทั้งสแปมเมอร์ระดับล่างและกลุ่มที่มีชื่อเสียงเป็นที่รู้จักเข้าร่วมกระบวนการ

 

หยุดสแปม

กลุ่มผู้อยู่เบื้องหลัง Necurs และบ็อตเน็ต ทำงานโดยมีเป้าหมายเดียวคือการทำให้ข้อความสแปมไปอยู่ในเมลบ็อกซ์ของผู้คนโดยไม่ถูกกรองหรือบล็อก โดยบ็อตเน็ตเหล่านี้มักสับเปลี่ยนวิธีต่างๆ  เช่น เปลี่ยนประเภทของสแปมที่แพร่กระจาย ปกปิดสแปมเหล่านี้ในไฟล์หรืออีเมลรูปแบบต่างๆ เป็นต้น ทำให้สแปมจาก Necurs สามารถหาทางเข้าสู่เมลบ็อกซ์ของผู้บริโภคและพนักงานบริษัทได้ในที่สุด และวิธีการที่ดีที่สุดในการขัดขวางอีเมลเหล่านั้นคือการให้การศึกษาและทำให้พนักงานในองค์กรตระหนักเกี่ยวกับประเภทของอีเมลประสงค์ร้ายที่ไม่ควรเปิดหรือตอบกลับใด ๆ

เคล็ดลับสำหรับการจัดการกับอีเมลสแปมมีดังนี้

อย่าตอบอีเมลประเภทนี้ – นักวิจัยกล่าวว่า มีความเป็นไปได้ถึง 99.999% ที่อีเมลไม่พึงประสงค์ที่พยายามหลอกลวงคนที่มองหาความสัมพันธ์ด้านความรักนั้นจะเป็นอันตราย ฉะนั้นจึงห้ามตอบสนองใดๆ แฮ็กเกอร์เพียงต้องการหาวิธีการที่จะทำให้คุณติดมัลแวร์หรือเพื่อหลอกลวงคุณ

คงสถานภาพการบอกรับเป็นสมาชิกอีเมลไว้ – อย่ายกเลิกการรับอีเมลสแปม แต่ให้ตั้งค่าระบุว่าอีเมลเหล่านี้เป็นสแปมหรืออีเมลขยะแทน เพราะการแจ้งยกเลิกการรับสมาชิกอีเมลทำให้ผู้ปล่อยสแปมสามารถตรวจสอบได้ว่าอีเมลแอดเดรสนั้นๆ แอ็คทีฟอยู่

อัพเดตแพ็ตช์อย่างสม่ำเสม – อัพเดตระบบปฏิบัติของคุณในทันทีที่มีอัพเดตใหม่และแพ็ตช์ใหม่ มัลแวร์ส่วนใหญ่จะใช้ช่องโหว่จากซอฟต์แวร์เวอร์ชันเก่าเพื่อให้คุณติดไวรัส

การเชื่อมต่อที่เชื่อถือได้ – ดำเนินการกับข้อความและอีเมลที่ไม่พึงประสงค์ให้เหมือนเป็นสแปม ไม่ควรเปิดข้อความและอีเมลเหล่านั้น ไม่ควรคลิกลิงค์ เปิดไฟล์แนบ หรือปฏิบัติตามคำแนะนำในอีเมลนั้นๆ

from:https://www.techtalkthai.com/pr-ibm-warns-about-necurs-botnet-in-valentine-day-event/