Thailand People Cyber Army Cyber News

ปัญหาเรื่องการจัดการสิทธิ์ของ Admin นั้นมีอยู่เรื่อยมา ซึ่งสมัยนี้ยังต้องดูไปถึง Cloud ต่างๆ แถมยังมีรายละเอียดมากมายเกี่ยวกับเรื่องของสิทธิ์ จนองค์กรอาจพลั้งเผลอทำให้เกิดอันตรายได้ ซึ่งวันนี้ทาง CyberArk ก็ได้ใจดีแจกฟรีเครื่องมือตรวจสอบหา Shadow Admin ที่ชื่อ ‘SkyArk’ CyberArk ได้อธิบายความหมายของ  Shadow Admin  ไว้ว่าเป็นบัญชีหนึ่งในองค์กรที่มีสิทธิ์สำคัญแต่ไม่ได้รับการใส่ใจเพราะไม่อยู่ในสมาชิกกลุ่มสิทธิพิเศษบน AD เนื่องจากอาจเพราะถูกให้สิทธิ์เพิ่มมาโดยตรง โดยอาจเกิดขึ้นตอนที่องค์กรทำการ integrate ส่วน On-premise มาทำงานร่วมกับ Cloud นั่นเอง นอกจากนี้ยังมีเรื่องสิทธิต่างๆ บน AWS และ Azure ที่มีจำนวนรวมกันกว่า 5,000 สิทธิ ด้วยเหตุนี้เองจึงไม่ใช่เรื่อง่ายที่จะป้องกันได้หมด SkyArk ถูกเปิดโอเพ่นซอร์สไว้บน  GitHub  แล้ว โดยเป็นเครื่องมือตัวที่ 2 ในปีนี้หลังจากบริษัทปล่อย  SkyWrapper  ที่ช่วยสแกนหา Token ของคนร้ายบน AWS ออกมาเมื่อเมษายน ที่มา :   https://www.zdnet.com/article/new-tool-detects-shadow-admin-accounts-in-aws-and-azure-environments/...

Microsoft ได้ปรับให้ Defender ระบุโปรแกรม CCleaner กลายเป็น Potentially Unwanted Application (PUA) แล้ว CCleaner เป็นโปรแกรมที่อวดสรรพคุณว่าสามารถทำ Optimization Windows และ Registry ซึ่งเคยมีประวัติไม่ดีทั้งเรื่องของบังคับอัปเดตและการเก็บข้อมูลอย่างไม่เหมาะสม โดยเมื่อปีก่อน Microsoft ได้แบนเนื้อหาเกี่ยวกับ CCleaner ออกจาก Forum ชั่วคราว ล่าสุดใน Microsoft Security Intelligence ได้จัดให้ CCleaner กลายเป็นโปรแกรมไม่พึงประสงค์เรียบร้อยแล้ว ซึ่งแม้จะยังไม่ได้เปิดเผยเหตุผลแน่ชัดแต่ก็ออกตัวเลยว่าไม่รองรับและไม่ควรใช้ ดังนั้นก็ขอเตือนให้ผู้ใช้งานทำใจไว้ก่อนนะครับ ที่มา :   https://www.bleepingcomputer.com/news/microsoft/microsoft-now-detects-ccleaner-as-a-potentially-unwanted-application/

สำหรับใครที่สนใจเจาะลึกเกี่ยวกับการย้อนรอยมัลแวร์หรือศึกษาพฤติกรรมอันน่าประหลาดใจ วันนี้เรามี Ebook ที่แจกฟรีจาก Betanews มานำเสนอ สำหรับ Ebook เล่มนี้จะประกอบด้วย ปูพื้นเรื่องคอนเซปต์ instruction ของ CISC/RISC, x86/x64, ARM, MIPS, Statics&Dynamic Linking คือเราต้องเข้าใจเรื่องของการคอมไพล์โค้ดและภาษาระดับต่ำก่อน ไปจนถึงวิธีการที่มัลแวร์ใช้เช่น Obfuscation, Vulnerability, Encryption, Injection ในรูปแบบต่างๆ การใช้เครื่องมือช่วยในการทำ Reverse Engineering การทำ Debugging Code, Sandboxing รวมถึงมัลแวร์ประเภทต่างๆ เช่น Windows-based, Linux-based, Android/iOS based หรือแม้กระทั่งภาษาที่พัฒนาขึ้นอย่าง .NET, JAVA, Python, VB นี่ยังไม่นับรวมพฤติกรรมที่มัลแวร์พึงจะมีด้วย  ดังนั้นสำหรับใครก็ตามที่อยากจะเริ่มต้นย้อนรอยมัลแวร์เพื่อเป็นแนวทางในการป้องกัน หรือเข้าใจพฤติกรรมอย่างลึกซึ้ง ก็สามารถเข้าไปดาวน์โหลดกันได้เลย ที่นี่  ถึงวันที่ 29 กค. ศกนี้เท่านั้น (ต้องลงทะเบียนก่อน) ที่มา :   https://betanews.com/2020/07/23/mastering-malware-analysis-free/

Steven Seeley ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้ออกมาเปิดเผยโค้ดสาธิตการโจมตี SharePoint Server โดยใช้ช่องโหว่ร้ายแรงหมายเลข CVE-2020-1147 ที่ Microsoft เพิ่งจะถูกออกแพตช์แก้ไขเมื่อสัปดาห์ก่อน ด้วยเหตุนี้เองก่อนแฮ็กเกอร์จะประยุกต์แนวทางเพื่อลงมือจริง จึงแนะนำให้ผู้ดูแลเร่งอัปเดตกันครับ CVE-2020-1147 เป็นช่องโหว่ระดับร้ายแรง เนื่องจากมีบั๊กในซอฟต์แวร์ที่ไม่ได้เช็ค Source Markup ในไฟล์ XML ซึ่งส่งผลให้ทำ Deserialization จนนำไปสู่การลอบรันโค้ดได้ โดยเพียงแค่ผู้โจมตีอัปโหลดไฟล์ที่ตนสร้างขึ้นให้เซิร์ฟเวอร์ประมวลผล ทั้งนี้ช่องโหว่จะส่งผลกระทบกับ  .NET Core 2.1, .NET Framework 2.0 SP2, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1, 4.7.2 และ 4.8 (ขึ้นกับเวอร์ชันของ Windows ), SharePoint Enterprise Server 2013 Service Pack 1, SharePoint Enterprise Server 2016 , SharePoint Server 2010 Service Pack 2, SharePoint Server 2019, Visual Studio 2017 version 15.9, and Visual Studio 2019 versions 16.0, 16.4 และ 16.6 ปัจจุบัน Seeley ได้ สาธิต และให้รายละเอียดของการโจมตีกับ SharePoint...

เว็บไซต์​ ZDNet และ Windows Central รายงานไปในทิศทางเดียวกันถึงแผนการของระบบปฏิบัติการ Windows ตัวใหม่ล่าสุด Windows 10X ที่อาจเผยโฉมในช่วงต้นปี 2021 ที่จะถึง โดยหนึ่งในความเปลี่ยนแปลงที่สำคัญ คือการยกเลิกฟีเจอร์การซัพพอร์ต Win32 Microsoft เริ่มมีการเผยให้เห็น Windows 10X เป็นครั้งแรกในช่วงต้นปีที่ผ่านมา โดยเป้าหมายในตอนแรกนั้นถูกออกแแบบเพื่อเป็นระบบปฏิบัติการสำหรับอุปกรณ์ที่มี 2 หน้าจอโดยเฉพาะ ทว่าวิกฤตการณ์ COVID-19 ที่เกิดขึ้นทำให้แผนการนี้ต้องล้มเลิก และมีรายงานใหม่ถึงการปรับเปลี่ยนทิศทางของ Windows 10X เพื่อเป็นระบบปฏิบัติการสำหรับอุปกรณ์จอเดียวที่มีราคาไม่สูงนักแทน ในการเผยข้อมูลที่ผ่านมา หนึ่งในฟีเจอร์ที่น่าสนใจของ Windows 10X คือการวางสถาปัตยกรรมให้ตัว OS ยังคงรองรับการใช้งานแอปพลิเคชัน Win32 เดิม ผ่านการใช้ Container ซึ่งเป็น Environment สำหรับ Win32 ทว่าตามรายงานล่าสุดจากเว็บไซต์ ZDNet และ Windows Central ไมโครซอฟท์ได้ตัดสินใจที่จะรัน Windows 10X ผ่าน Universal Windows Platform (UWP) และเว็บแอปพลิเคชันเท่านั้น ทำให้ไม่สามารถใช้แอป Win32 ได้ นอกจากนี้ ไมโครซอฟท์ยังได้วา...

ThreatFabric ผู้เชี่ยวชาญด้าน Mobile Security ได้ออกเตือนถึงการค้นพบมัลแวร์ตัวใหม่บนแอนดรอยด์ที่ชื่อ BlackRock โดยความน่าสนใจคือการที่สามารถขโมยข้อมูลแอปพลิเคชันได้จำนวนมากในหลายประเภท BlackRock พัฒนาต่อยอดมาจากมัลแวร์เก่าๆ ตามภาพด้านบน ซึ่งในเวอร์ชันล่าสุดมัลแวร์สามารถขโมย Credentials ของแอปพลิเคชันได้ถึง 337 แอปพลิเคชัน โดยเน้นหนักไปทาง Financial หรือ Social Media แต่ก็ยังรวมไปถึงแอปพลิเคชันหาคู่ ข่าวสาร ไลฟ์สไตล์ และอื่นๆ ทั้งนี้เทคนิคที่ใช้คือการสร้างหน้าต่างกรอกข้อมูลมาครอบการเรียกใช้งานล็อกอินของแอปพลิเคชันจริง อย่างไรก็ดีผู้เชี่ยวชาญพบว่ามัลแวร์ยังใช้เทคนิคเดิมตามแนวทางของมัลแวร์ที่เคยมีมาบนแอนดรอยด์คือขอใช้ฟีเจอร์ Accessibility (ฟีเจอร์ที่สามารถทำงานแทนผู้ใช้งานได้อย่างอัตโนมัติ) เมื่อได้มากแล้วมัลแวร์จะให้สิทธิตัวเองเข้าถึงสิทธิ์อื่นๆ และใช้ Device Policy Controller ให้สิทธิ์ผู้ดูแลแก่ตัวเอง นอกจากนี้ผู้เชี่ยวชาญยังพบพฤติกรรมคุกคามอื่นร่วมด้วยเช่น การดักจับข้อความ สแปม และ Flood SMS และฟังก์ชัน Keylogger รวมถึงทำลายแอปพลิเคชัน Antivirus บทแอนดรอยด์ สำหรับการแพร่กระจาย...

Google ได้ประกาศปล่อย Chrome 84 ออกมาแล้ว ซึ่งไม่ได้มีการเปลี่ยนแปลงเรื่องฟีเจอร์มากนัก แต่มีการอัปเดตด้าน Security ระดับร้ายแรง ซึ่งทาง CISA มีคำเตือนออกมาแล้วว่าให้รีบอัปเดต ฟีเจอร์ใหม่สำหรับ Chrome 84 WEB OTP API  – เป็นความคิดกำเนิดจากฝั่ง Apple เพียงแต่เข้าท่ามากจน Google ต้องสนับสนุน โดย API ตัวนี้จะช่วย Browser ตรวจจับ SMS OTP เข้ามาใส่ใน Web Page ให้อัตโนมัติ ทำให้ลดปัญหาเรื่องการ Phishing และช่วยสร้างมาตรฐานของ OTP ให้เป็นในแนวเดียวกัน WEB Animation API  – เป็น JavaScript Function ที่ช่วยให้นักพัฒนาสามารถควบคุมลำดับของ Animation ใน Web Browser ได้ Pop-ups  – ต่อจากนี้บางเว็บไซต์จะถูกซ่อนโดยพื้นฐานภายใต้ Chrome URL (ตามภาพประกอบ) ยกเลิกการรองรับ TLS 1.0 และ 1.1 แล้ว ซึ่งผู้ชมจะได้รับหน้า Error กลับมาเมื่อเข้าเยี่ยมชมเว็บไซต์ล้าสมัยเหล่านั้น แจ้งเตือน Mixed Content หรือการที่เว็บใช้ HTTPS แต่เมื่อดาวน์โหลดบางอย่างกลับใช้ HTTP ด้วย ซึ่ง Google มองว่ายังไงก็ยังปลอดภัยไม่สุด โดยปัจจุบันแค่เตือนไว้ก่อนแต่ในอนาคตเวอร์ชันต่อๆ ไป จะบล็อกแน่ อย่างไรก็ดียังมีการอ...

เกิดเหตุแฮ็กเกอร์กลุ่มหนึ่งที่สามารถเจาะเข้าไปยังเซิร์ฟเวอร์ของบริการ Data Leak Detection ของบริษัท Night Lion Security โดยคนร้ายอ้างว่าได้ขโมยฐานข้อมูล Data Breach กว่า 8,200 ฐานข้อมูลออกมาได้ Data Monitoring Service ที่เกิดเหตุนั้นคือ Data Viper ซึ่งนักวิจัยที่ชื่อ Vinny Troia จากบริษัท Night Lion Security เป็นผู้ดูแลอยู่ เรื่องราวคือบริษัทได้ทำการรวบรวมฐานข้อมูลจากแหล่งต่างๆ เช่น Dark Web, Hacking Forum และอื่นๆ เพื่อรวบรวมไว้ทำบริการให้ลูกค้าสามารถเรียกตรวจสอบได้ว่ามีข้อมูลขององค์กรรั่วไหลหรือยัง ทั้งนี้แฮ็กเกอร์ที่เข้ามาได้สำเร็จพยายามประกาศศักดา โดยการส่งเมลแจ้งนักข่าวหลายสำนักว่าตนเจาะเข้าเซิร์ฟเวอร์ของ Data Viper ได้แล้ว ซึ่งมีการแสดงหลักฐานบางส่วนว่ามีข้อมูลจริงด้วยการให้ไฟล์ JSON ที่มีข้อมูลตัวอย่างอยู่ อย่างไรก็ตามแฮ็กเกอร์ประกาศลิสต์รายชื่อว่ามีข้อมูลกว่า 8,225 ฐานข้อมูล ไม่เพียงเท่านั้นแฮ็กเกอร์ยังได้โพสต์ขาย 50 ฐานข้อมูลที่ได้มาไว้ใน Dark Web อีกด้วย แต่จากการวิเคราะห์ของ Zdnet พบว่ามีบางส่วนยังหาที่มาไม่ได้ว่าเป็นของใหม่หรือไม่ สำหรับ Vinny Troia เองก็ออกมายอมรับว...

Microsoft มีการรองรับการพัฒนาภาษา PHP บน Windows มานานแล้ว อย่างไรก็ดีตั้งแต่ PHP 8.0 ที่จะออกมาทีมงานได้มีการประกาศภายในแล้วว่า Microsoft จะไม่เป็นส่วนหนึ่งในการ Support PHP 8.0 for Windows ที่จะออกมาในเดือนพฤศจิกายนแล้ว ก่อนอื่นต้องเข้าใจคำว่า ‘Support’ ในที่นี้หมายถึงการออกแพตช์ด้านความมั่นคงปลอดภัยสำหรับ PHP และการสร้าง Native Windows Builds นั่นขยายความได้ว่า PHP 8.0 จะยังรองรับบน Windows เพียงแต่ว่า Microsoft จะไม่เป็นส่วนหนึ่งของการสร้างแบบ Official และดูแลอีกต่อไป ฉะนั้นก็อาจยังมีคนอื่นมาทำแต่ว่าไม่ Official จาก Microsoft  ส่วนสำหรับเวอร์ชันเก่า Dale Hirt หัวหน้าทีม Microsoft PHP กล่าวว่า “ เวอร์ชัน 7.2 ยังได้รับการดูแลไปจนถึงพฤศจิกายน เวอร์ชัน 7.3 จะได้รับแพตช์ด้านความมั่นคงปลอดภัยภายในพฤศจิกายนนี้เท่านั้น ส่วนเวอร์ชัน 7.4 จะได้รับการแก้ไขบั๊กไปอีก 1 ปีและความมั่นคงปลอดภัยอีก 1 ปี “ ทั้งนี้ที่ Microsoft มองว่าจะไม่ดูแล PHP 8.0 แล้วอาจเพราะปัจจุบันตัวเองมี Windows Subsystem Linux (WSL) ซึ่งสามารถรองรับ PHP ได้อยู่แล้วนั่นเอง ที่มา :    https://w...

มีการค้นพบช่องโหว่ใหม่บน Zoom Client บน Windows 7 และ Server 2008 R2 โดยปัจจุบันทางบริษัทกำลังออกแพตช์ออกมาแก้ไข ACROS Security ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้รับแจ้งช่องโหว่บน Zoom Client จากนักวิจัยรายหนึ่ง โดยผลลัพธ์สามารถนำไปสู่การเกิด Remote Code Execution ได้ ปัจจุบัน Zoom ได้รับเรื่องแล้วแต่กำลังแก้ไขกันอยู่ ซึ่งยังไม่ได้กำหนดแน่ชัดว่าจะออกมาเมื่อไหร่ อย่างไรก็ดีมีวีดีโอสาธิตช่องโหว่แล้วตามคลิปด้านล่าง  เคราะห์ดีที่ช่องโหว่นี้จะกระทบกับ Client บน Windows 7 หรือ Windows 2008 R2 เท่านั้น ดังนั้นผู้ใช้ Windows 8 หรือ 10 สบายใจได้ ที่มา :   https://www.zdnet.com/article/zoom-working-on-patching-zero-day-disclosed-in-its-windows-client

Federal Trade Commission (FTC) ได้ออกแนะนำ 6 ข้อปฏิบัติให้องค์กรได้ตระหนักเพื่อใช้งานคลาวด์ได้อย่างมั่นคงปลอดภัย 1.) ความมั่นคงปลอดภัยคือความรับผิดชอบของคุณเองเสมอ ผู้บริโภคเองคือคนที่ต้องรับผิดชอบเรื่องความมั่นคงปลอดภัย แม้ว่าเราจะมีผู้ให้บริการคลาวด์ที่ทำหน้าที่เก็บและประมวลผลข้อมูล แต่ไม่ได้หมายความว่าหน้าที่รักษาความมั่นคงปลอดภัยจะหายไปจากเรา ดังนั้นองค์กรจึงควรมีโปรแกรมสำหรับความมั่นคงปลอดภัยของข้อมูล ว่าจะรักษาข้อมูลนั้นอย่างไรและทำอย่างต่อเนื่อง รวมถึงต้องเทรนพนักงานให้เข้าใจแผนและความรับผิดชอบ และสุดท้ายองค์กรต้องนั่งรีวิวสัญญาที่ทำไว้กับผู้ให้บริการถึงขอบเขตความรับผิดชอบว่าส่วนไหนของใคร และหากเกิดเหตุจะต้องทราบว่าควรติดต่อใครอย่างชัดเจน 2.) คอยรับฟังและตื่นตัวกับคำเตือนต่างๆ ผู้ให้บริการคลาวด์หลายเจ้ามีเครื่องมือตรวจสอบว่า Repository ของลูกค้านั้น เข้าถึงได้ผ่านอินเทอร์เน็ตแบบสาธารณะหรือไม่ ทั้งนี้ก็จะมีนักวิจัยที่ควรตรวจตราอยู่เองด้วย ซึ่งหากพบว่าทรัพยากรของเรามีความเสี่ยงจากออนไลน์ก็อาจมีคำเตือนติดต่อมา ดังนั้นก็คอยรับข่าวสารคำเตือนต่างๆ เอาไว้ด้วย อย่าประมาท 3....

หน้า Control Panel ที่อยู่คู่กับ Windows มาแสนยาวนานอาจจะกำลังหายไปในอนาคตอันใกล้นี้ สืบเนื่องจากใน Windows 10 Insider build 20161 มีการ Redirect ผู้ใช้งานไปยังหน้าอื่นแทนแล้ว Control Panel มีมาตั้งแต่สมัย Windows NT เลยทีเดียว โดยถัดมาใน Windows 8 ทาง Microsoft ก็มีการเพิ่มหน้า Setting เข้ามาที่สามารถใช้ตั้งค่าระบบได้ อย่างไรก็ตามหลายคนก็ยังติดกับการใช้งานเดิมๆ ได้ แต่อาจจะต้องซ้อมเปลี่ยนวิธีการตั้งค่ากันไว้หน่อยแล้ว เพราะในอนาคตมีความเป็นไปได้ที่เมนูนี้จะหายไป ที่มา :   https://www.bleepingcomputer.com/news/microsoft/windows-10-the-beginning-of-the-end-for-control-panel/

เป็นเรื่องดีอยู่แล้วที่องค์กรจะใช้งาน VPN อย่างไรก็ดีก็ยังเร็วเกินไปที่จะมั่นใจได้หากไม่มีการตั้งค่าอย่างเหมาะสม ด้วยเหตุนี้เอง NSA จึงออกคำแนะนำสำหรับองค์กรเพื่อเป็นแนวทางให้ใช้งาน IPSec VPN อย่างมั่นคงปลอดภัย คำแนะนำมีดังนี้ 1.) กระชับพื้นที่ในการถูกโจมตี เช่น ทำ Rule เพื่อการคัดกรองทราฟฟิคตามพอร์ท โปรโตคอล และไอพีที่สามารถใช้งานอุปกรณ์ VPN ได้ โดยอาจใช้ความสามารถจาก IPS เข้ามาเพื่อตอบโจทย์ตรงนี้ 2.) ตรวจสอบอัลกอริทึมในการเข้ารหัสว่าคอมไพล์กับ  Committee on National Security Systems Policy (CNSSP) หรือไม่ ให้แน่ใจว่า Policy ของ ISAKMP/IKE และ IPSec ไม่อนุญาตใช้งานอัลกอริทึมที่ล้าสมัยไปแล้ว 3.) อย่าใช้ค่า Default เช่น หน้า Wizard ที่แนะนำพื้นฐานทั้งหมด สคิร์ปต์ หรือการตั้งค่าจาก Vendor ที่ตั้งค่าแบบ Default เอาไว้ เพราะอาจไม่ได้ทำมาอย่างมั่นคงปลอดภัย 4.) โละ Cryptography suite ที่ไม่ได้มาตรฐานหรือเลิกใช้แล้วเพื่อกันการโจมตีแบบ Downgrade Attack  5.) แพตช์ช่องโหว่ให้ล่าสุดอยู่เสมอ ซึ่งมีการแจ้งเตือนหลายครั้งแล้วถึงช่องโหว่ใน Vendor หลายเจ้า โดยสามารถศึกษาข่าวเ...

หลังจากกรณีของ Cambridge Analytica ทาง Facebook ก็ได้เพิ่มมาตรการป้องกันทางข้อมูล โดยข้อปฏิบัติหนึ่งคือจะไม่อนุญาตให้ API เข้าถึงข้อมูลผู้ใช้ที่ไม่ Active เกิน 90 วันได้ แต่วันนี้ดูเหมือนว่าเรื่องจะไม่เป็นอย่างนั้นเพราะ Facebook ได้ออกมายอมรับว่าที่มั่นใจมาตลอดนั้นไม่ได้เป็นไปด้วยดี Facebook ตรวจพบว่านักพัฒนากว่า 5,000 คนยังคงสามารถเข้าถึงข้อมูลผู้ใช้งานที่ไม่ Activeได้หลังเกิน 90 วัน โดย Facebook ก็มองโลกในแง่ดีว่า ข้อมูลที่เข้าถึงได้นั้นเท่าเดิมกับที่ผู้ใช้งานอนุญาตให้แอปนั้นอยู่แล้ว พูดง่ายๆว่าข้อมูลไม่ได้เพิ่มขึ้นแค่ติดตามการเปลี่ยนแปลงข้อมูลเหล่านั้นของผู้ใช้งานมาตลอด ซึ่งล่าสุดทีมงานก็ได้แก้ไขข้อบกพร่องเรียบร้อย และพยายามรีวิว Log ว่ามีผลกระทบกับใครมากน้อยแค่ไหน นอกจากนี้ Facebook ยังได้ประกาศ Policy บังคับใช้กับนักพัฒนาเพิ่มขึ้น เช่น การจำกัดการแชร์ข้อมูลกับ Third-party โดยที่ผู้ใช้งานไม่รับรู้ และทำให้นักพัฒนาทราบถึงความรับผิดชอบต่อข้อมูลที่ได้มา และอื่นๆ ที่มา :   https://www.zdnet.com/article/facebook-says-5000-app-developers-got-user-data-after-cutoff-date/ ...

ผู้เชี่ยวชาญหลายฝ่ายได้เตือนถึงแรนซัมแวร์ตัวใหม่ที่ชื่อ ‘EvilQuest’ โดยเน้นการโจมตีไปที่ macOS นอกจากนี้ยังมีความสามารถอื่นๆ แฝงมาเช่นติดตั้ง Keylogger หรือควานหาไฟล์กระเป๋าเงินดิจิทัล EvilQuest เป็นแรนซัมแวร์ตัวใหม่ที่มีพฤติกรรมมากกว่าแรนซัมแวร์ทั่วไป คือหลังจากที่เข้าไปได้จะทำการเข้ารหัสทันที แต่หลังจากนั้นจะไปติดตั้ง Keylogger, Reverse Shell และพยายามหาไฟล์ที่เกี่ยวกับกระเป๋าเงินดิจิทัลด้วย โดยผู้เชี่ยวชาญพบว่ามัลแวร์ได้แฝงตัวมากับซอฟต์แวร์เถื่อนหลายช่องทางตาม Torrent หรือเว็บกระทู้ต่างๆ  สำหรับเหยื่อจะมีการเข้ารหัสไฟล์นามสกุลเหล่านี้ประกอบด้วย .pdf, .doc, .jpg, .txt, .pages, .pem, .cer, .crt, .php, .py, .h, .m, .hpp, .cpp, .cs, .pl, .p, .p3, .html, .webarchive, .zip, .xsl, .xslx, .docx, .ppt, .pptx, .keynote, .js, .sqlite3, .wallet, .dat นอกจากนี้ยังพบความพยายามปรับแต่งไฟล์ของ Google Chrome Update ซึ่งยังไม่ทราบแน่ชัดว่าทำไปทำไม เพราะ Google ก็ไม่อนุญาตใครมาแก้ไขไฟล์ตัวเองได้อยู่ดี ปัจจุบันจากแหล่งที่น่าเชื่อถือที่สุดคือ Malwarebytes for Mac น่าจะมีการอัปเดตให้ป้องกัน...