ผู้เชี่ยวชาญเผยมัลแวร์ใหม่ ‘XCSSET’ บน macOS

นักวิจัยด้านความมั่นคงปลอดภัยจาก Trend Micro ได้เปิดเผยรายละเอียดของมัลแวร์ตัวใหม่ที่ชื่อ ‘XCSSET’ โดยผ่านมาทาง IDE ที่ถูกใช้ในนักพัฒนาบน macOS เพื่อเขียนแอปหรือซอฟต์แวร์ในอุปกรณ์ Apple
XCSSET ได้อาศัยช่องโหว่ Zero-day 2 รายการดังนี้
  • บั๊กใน Data Vault ช่วยลัดผ่านการป้องกันของ macOS ที่วางไว้ป้องกันไฟล์ Cookie ของ Safari ผ่านทาง SSHD
  • ช่องโหว่ในการทำงานของ Safari WebKit ซึ่งปกติแล้วจะต้องอาศัยรหัสผ่าน แต่การสามารถลัดผ่านได้เพื่อลอบรันปฏิบัติการอันตราย 
ผู้เชี่ยวชาญพบว่ามัลแวร์สามารถลอบอ่าน Cookie ของ Safari และสามารถทำ Universal Cross-site Scripting (UXSS) ได้ ทั้งนี้ยังสามารถแก้ไขเซสชันของบราวเซอร์เพื่อแสดงเว็บอันตรายได้ รวมถึงขโมย Apple Store Credit Card, Credentials ของ AppleID, Google, PayPal และ Yandex ได้เป็นต้น นอกจากนี้ยังมีฟีเจอร์ส่งออกข้อมูลที่ได้กลับไปยังเซิร์ฟเวอร์ของคนร้ายด้วย
สำหรับการแพร่กระจายพบว่าจะผ่านมาทาง XCode Project แต่จนถึงขณะนี้ผู้เชี่ยวชาญยังงงว่าคนร้ายได้แทรกซึมเข้าไปยัง XCode Project ได้อย่างไร และยังกังวลว่าเมื่อถูกโปรเจ็คถูก Built มัลแวร์ก็พร้อมจะรัน ซึ่งยังเป็นสิ่งที่ถูกใช้โดยนักพัฒนา ที่จะมีการแชร์ผลงานของตัวเองไปมากมาย โดยที่ต้นทางและปลายทางคาดไม่ถึงเลยว่าตัวเองนั้นรับมัลแวร์เข้ามาแล้ว ผู้สนใจสามารถศึกษาเพิ่มเติมได้ที่นี่

Comments

Post a Comment

Popular posts from this blog

Kaspersky เตรียมย้ายข้อมูลผู้ใช้และสายการผลิตจากรัสเซียมาสวิตเซอร์แลนด์

Image
Kaspersky Lab ผู้ให้บริการโซลูชัน Endpoint Protection ชื่อดังจากรัสเซีย ออก แถลงการณ์ เตรียมย้ายข้อมูลของลูกค้าส่วนใหญ่และสายการผลิตซอฟต์แวร์จากรัสเซียมายัง  “Transparency Center”  แห่งใหม่ในประเทศสวิตเซอร์แลนด์ เพื่อเพิ่มความโปร่งใสในการให้บริการมากยิ่งขึ้น Transparency Center แห่งนี้จะตั้งอยู่ในเมืองซูริค ประเทศสวิตเซอร์แลนด์ ซึ่งจะรวมเซิร์ฟเวอร์ที่เก็บข้อมูลลูกค้าของ Kaspersky ทั่วโลกเกือบทั้งหมด ไม่ว่าจะเป็นยุโรป อเมริกาเหนือ ออสเตรเลีย ญี่ปุ่น เกาหลีใต้ และสิงคโปร์ รวมไปถึง  “Build Infrastructure”  ที่ Kaspersky ใช้สำหรับประกอบและจัดการผลิตภัณฑ์ต่างๆ ของตน ได้แก่ Source Code ของผลิตภัณฑ์ที่วางจำหน่ายสู่สาธารณะไปแล้ว (รวมถึงเวอร์ชันเก่า) ฐานข้อมูลสำหรับตรวจจับภัยคุกคาม Source Code ของบริการบน Cloud สำหรับรับและจัดเก็บข้อมูลลูกค้าที่อยู่ในยุโรป อเมริกาเหนือ ออสเตรเลีย ญี่ปุ่น เกาหลีใต้ และสิงคโปร์ ซอฟต์แวร์และเครื่องมือที่ใช้สำหรับพัฒนาผลิตภัณฑ์ (Build Scrpts) ฐานข้อมูล และบริการบน Cloud เอกสารสำหรับทำพัฒนาซอฟต์แวร์อย่างมั่นคงปลอดภัย การสร้าง Transpare...
Read more

เตือนเว็บ Office 365 ปลอม เสี่ยงถูกหลอกลง Trickbot Trojan ขโมยรหัสผ่าน

Image
MalwareHunterTeam ออกมาแจ้งเตือนถึงเว็บ Office 365 ปลอมที่ใช้แพร่กระจาย Trickbot Trojan เสี่ยงอาจถูกขโมยรหัสผ่านได้ เว็บปลอมดังกล่าวมีลักษณะคล้ายคลึงกับเว็บในเครือของ Microsoft เป็นอย่างมาก และลิงค์ต่างๆ บนเว็บไซต์ก็ชี้ไปยังเพจที่โฮสต์บนโดเมนของ Microsoft อีกด้วย ทำให้นอกจาก URL แล้ว เป็นเรื่องยากที่จะจำแนกว่าเป็นเว็บไซต์ปลอม ไม่กี่วินาทีหลังจากเข้าสู่เว็บปลอมดังกล่าว จะมีข้อความแจ้งเตือนเด้งขึ้นมา ระบุว่า เบราว์เซอร์ที่ใช้งานอยู่เป็นเวอร์ชันที่เก่าเกินไป อาจเสี่ยงเกิดความผิดพลาดหรือข้อมูลสูญหายได้ จำเป็นต้องได้รับการอัปเดตใหม่ ซึ่งข้อความเหล่านี้จะแตกต่างกันเล็กน้อยขึ้นอยู่กับว่าใช้ Google Chrome หรือ Firefox ดังแสดงในรูปด้านล่าง ถ้าเหยื่อเผลอคลิกปุ่ม Update จะเป็นการดาวน์โหลดไฟล์  upd365_58v01.exe  ลงสู่เครื่อง เมื่อสั่งรัน ไฟล์ดังกล่าวจะทำการติดตั้ง Trickbot Trojan โดยแทรกเข้าไปยัง svchost.exe เพื่อให้การตรวจจับทำได้ยาก จากนั้น Trojan จะทำการติดต่อกับ C&C Server แล้วเริ่มการทำงานโมดูลอื่นๆ เช่น systeminfo64 เพื่ออัปโหลดข้อมูลเกี่ยวกับคอมพิวเตอร์ของเหยื่อ โปรแกรมท...
Read more

แนะนำวิธีเปิดใช้ DNS over HTTPS บน Firefox

Image
ดูเหมือนว่าปัจจุบัน Firefox จะเป็นบราวเซอร์เพียงเจ้าเดียวเท่านั้นที่สามารถรองรับการใช้งาน DNS over HTTPS (DoH) แต่ไม่ได้เปิดเป็น Default และไม่มีแผนที่จะทำเช่นนั้นด้วย วันนี้เองทาง Zdnet ได้แนะนำวิธีการเปิดใช้งาน DoH ไว้ง่ายๆ เพียงไม่กี่ขั้นตอนครับ DNS over HTTPS ยังมีจุดประสงค์เหมือนเดิมเพียงแต่จะเข้ารหัสและส่งบนโปรโตคอล HTTPS พอร์ต 443 แทน Plaintext พอร์ต 53 ซึ่งข้อดีคือช่วยหลบเลี่ยงการสอดแนมของ Third-party ว่าเรากำลังใช้งานเว็บไซต์อะไรอยู่ รวมถึงการทำงานในระดับแอปพลิเคชันต้องอาศัยการรองรับจาก DNS Resolver ด้วย ดังนั้นแอปพลิเคชันที่รองรับ DoH จะสามารถลัดผ่านการคัดกรองจาก ISP หรือการบล็อกเพื่อเข้าถึงเนื้อหาที่ทางรัฐบาลหรือผู้ให้บริการท้องถิ่นป้องกันไว้ ด้วยเหตุที่ DoH อาจเพิ่มความสามารถในทางที่ไม่ดีด้วยทาง Mozilla จึงตัดสินใจไม่เปิดฟีเจอร์นี้เป็น Default นั่นเองแต่สามารถเลือกเปิดเองได้ 2 วิธีดังนี้ วิธีแรก : Firefox Settings 1.ไปนี่เมนูของ Firefox ->Tools->Preferences  2.General -> เลื่อนลงมาที่ Network Settings และเลือกปุ่ม Settings (รูปประกอบด้านล่าง) ที่มา :...
Read more