Subzero มัลแวร์

มีการตรวจพบ Private-Sector Offensive Actor (PSOA) โดยใช้ WIndows หลายรายการและช่องโหว่ซีโร่เดย์ของ Adobe เพื่อแพร่เชื้อไปยังเหยื่อด้วยมัลแวร์ที่พัฒนาขึ้นภายในซึ่งถูกติดตามเป็น Subzero รายละเอียดเกี่ยวกับผู้คุกคามและมัลแวร์ Subzero ได้รับการเปิดเผยในรายงานโดย Microsoft Threat Intelligence Center (MSTIC) นักวิจัยติดตาม PSOA โดยเฉพาะในชื่อ KNOTWEED และเชื่อว่าเป็น DSIRF ที่เป็นภัยคุกคามจากออสเตรีย KNOTWEED มีแนวโน้มที่จะนำเสนอรูปแบบที่แตกต่างกันสองแบบ ได้แก่ access-as-a-service และ hack-for-hire เนื่องจากทั้งสองกลุ่มขายมัลแวร์ Subzero ให้กับบุคคลที่สามในขณะที่ดูเหมือนว่าจะมีส่วนร่วมโดยตรงในการโจมตีบางอย่างมากขึ้น เหยื่อผู้เคราะห์ร้าย ได้แก่ สำนักงานกฎหมาย หน่วยงานที่ปรึกษา และธนาคารที่ตั้งอยู่ในออสเตรีย สหราชอาณาจักร และปานามา...

โพสต์เมื่อ August 4, 2022 ใน Malware

RelianceTask

นักวิจัยของ Infosec เตือนผู้ใช้ Mac เกี่ยวกับแอปพลิเคชันใหม่ที่ล่วงล้ำที่เรียกว่า RelianceTask โปรแกรมนี้อยู่ในตระกูลแอดแวร์ AdLoad ที่อุดมสมบูรณ์ และมักจะได้รับมอบหมายให้ส่งโฆษณาที่ไม่ต้องการไปยัง Mac ของผู้ใช้ ในกรณีส่วนใหญ่ แอปพลิเคชันที่น่าสงสัย เช่น แอปพลิเคชันนี้ กำลังแพร่กระจายผ่านกลยุทธ์ที่น่าสงสัย ท้ายที่สุด ผู้ใช้มักไม่ค่อยเต็มใจที่จะติดตั้ง PUP (โปรแกรมที่อาจไม่ต้องการ) บนคอมพิวเตอร์ของตน แต่ผู้สร้างแอปพลิเคชันเหล่านี้อาศัยวิธีการต่างๆ เช่น การรวมซอฟต์แวร์หรือโปรแกรมติดตั้ง/อัปเดตปลอม หากใช้งาน RelianceTask บน Mac ได้สำเร็จ อาจมีโฆษณาที่น่ารำคาญหลั่งไหลเข้ามา นอกเหนือจากการรบกวนประสบการณ์ของผู้ใช้บนอุปกรณ์แล้ว โฆษณาเหล่านี้อาจส่งเสริมปลายทางที่ไม่น่าไว้วางใจหรือแม้แต่ปลายทางที่ไม่ปลอดภัย...

โพสต์เมื่อ August 4, 2022 ใน Mac Malware, แอดแวร์, Potentially Unwanted Programs

AggregatorHost.exe

ผู้ใช้ Windows สังเกตเห็นว่ามีกระบวนการที่ชื่อ AggregatorHost.exe ทำงานในเบื้องหลังของระบบ กระบวนการอาจดูแปลกและน่าสงสัย เนื่องจากจุดประสงค์ไม่ชัดเจน นอกจากนี้ อาจขาดข้อมูลเกี่ยวกับผู้เผยแพร่เป็นส่วนหนึ่งของรายละเอียดที่ให้ไว้ในหน้าต่าง 'คุณสมบัติ' ข้อเท็จจริงนี้สามารถตีความได้ว่าชี้ไปที่กระบวนการที่ไม่ปลอดภัยหรือแทรกเข้าไปในระบบปฏิบัติการ Windows โดยโปรแกรมของบุคคลที่สามที่ไม่ต้องการ อย่างไรก็ตาม AggregatorHost.exe ดูเหมือนจะเป็นกระบวนการของ Windows ที่ถูกต้องตามกฎหมาย ซึ่งอาจเกี่ยวข้องกับฟังก์ชันการทำงานของ Windows Defender แม้ว่ากรณีนี้อาจเป็นกรณีสำหรับผู้ใช้ส่วนใหญ่ แต่ก็ไม่ใช่เรื่องแปลกที่ผู้ให้บริการมัลแวร์จะปลอมแปลงเครื่องมือที่คุกคามของตนเป็นไฟล์และกระบวนการจริง ดังนั้นจึงเป็นสิ่งสำคัญที่จะตรวจสอบ AggregatorHost.exe...

โพสต์เมื่อ August 4, 2022 ใน Trojans

อีเมลหลอกลวง 'M&T Bank'

ผู้ฉ้อโกงกำลังเผยแพร่อีเมลหลอกลวงเพื่อพยายามหลอกล่อผู้ใช้ให้เปิดพอร์ทัลฟิชชิ่ง อีเมลดังกล่าวถูกส่งโดย M&T Bank ซึ่งเป็นสถาบันการถือครองธนาคารที่ถูกต้องตามกฎหมายซึ่งมีสาขามากกว่า 700 แห่งกระจายอยู่ทั่วรัฐต่างๆ ของสหรัฐอเมริกา อีเมลปลอมใช้ทั้งชื่อและโลโก้ของบริษัท ผู้ใช้ควรได้รับการเตือนว่า M&T Bank ไม่มีส่วนเกี่ยวข้องกับอีเมลที่ทำให้เข้าใจผิดเหล่านี้โดยเด็ดขาด นักต้มตุ๋นอ้างว่าการชำระเงินมากกว่า 400 ดอลลาร์จะถูกโอนจากผู้รับที่ตรวจสอบบัญชีเป็นการชำระเงินสำหรับการซื้อจาก Amazon อีเมลดังกล่าวจะระบุวันที่ที่มีการสั่งซื้อเกิดขึ้น อีเมลหลอกลวงอ้างว่าเพื่อหยุดการทำธุรกรรม ผู้ใช้ต้องปฏิบัติตามลิงก์ที่ให้ไว้ นี่เป็นกลวิธีทั่วไปที่ใช้ในแผนการฟิชชิ่ง นักต้มตุ๋นต้องการหลอกล่อเหยื่อให้ไปที่พอร์ทัลฟิชชิ่งโดยเฉพาะ...

โพสต์เมื่อ August 4, 2022 ใน Phishing, Spam

'Windows Firewall ตรวจพบว่า Windows ของคุณเสียหายและไม่เกี่ยวข้อง' Scam

ผู้ฉ้อโกงกำลังใช้คำเตือนด้านความปลอดภัยปลอมเพื่อส่งเสริมแอปพลิเคชันที่น่าสงสัยหรือล่วงล้ำ กลวิธีเฉพาะนี้กำลังเผยแพร่โดยเว็บไซต์หลอกลวง เมื่อผู้ใช้เข้าสู่หน้าเว็บ พวกเขาจะได้รับหน้าต่างป๊อปอัปที่มีข้อความเตือน โดยอ้างว่าเป็น 'คำเตือนระบบ' ตามข้อความที่แสดง คอมพิวเตอร์ของผู้เยี่ยมชมเสียหายและล้าสมัย ความหวาดกลัวจอมปลอมยังคงดำเนินต่อไปด้วยข้อความที่เลวร้ายยิ่งกว่าเดิม - ตามเว็บไซต์หลอกลวง ไฟล์ทั้งหมดของผู้ใช้จะถูกลบภายในเวลาไม่กี่วินาที เป้าหมายของการหลอกลวงทั้งหมดคือการผลักผู้ใช้ที่ไม่สงสัยให้กดปุ่ม 'อัปเดต' ที่พบในหน้าต่างป๊อปอัป เห็นได้ชัดว่าการทำเช่นนี้จะอัปเดตระบบของผู้ใช้และป้องกันการลบไฟล์ แน่นอนว่าไม่มีสิ่งใดที่เป็นความจริง และข้อมูลที่นำเสนอทั้งหมดควรถูกมองว่าเป็นการประดิษฐ์และละเลยโดยสิ้นเชิง อย่างไรก็ตาม...

โพสต์เมื่อ August 4, 2022 ใน Rogue Websites, แอดแวร์

Hydrox Ransomware

Hydrox Ransomware เป็นภัยคุกคามมัลแวร์ที่ติดตั้งอัลกอริธึมการเข้ารหัสที่กำหนดเป้าหมายไฟล์ประเภทต่างๆ ระบบที่ติดไวรัสจะมีไฟล์ส่วนใหญ่ที่เก็บไว้ในนั้นถูกล็อคและแสดงผลไม่สามารถใช้งานได้ โดยปกติ การดำเนินการของแรนซัมแวร์จะขับเคลื่อนด้วยการเงิน โดยผู้โจมตีพยายามรีดไถเหยื่อเพื่อเงิน เมื่อ Hydrox Ransomware เข้ารหัสไฟล์ มันจะเพิ่มนามสกุลไฟล์ใหม่ - '.hydrox' ต่อท้ายชื่อดั้งเดิมของไฟล์นั้น ท่ามกลางการเปลี่ยนแปลงที่เกิดจากภัยคุกคาม จะเป็นลักษณะของไฟล์ข้อความที่ไม่คุ้นเคยที่ชื่อว่า 'Hydrox Ransomware.txt' ไฟล์นี้มีบันทึกเรียกค่าไถ่ของภัยคุกคามพร้อมคำแนะนำสำหรับเหยื่อ นอกจากนี้ พื้นหลังเดสก์ท็อปเริ่มต้นของอุปกรณ์ที่ถูกเจาะจะถูกแทนที่ด้วยรูปภาพใหม่ที่มาจากภัยคุกคาม รายละเอียดของบันทึกค่าไถ่ ตามข้อความเรียกร้องค่าไถ่ของภัยคุกคาม Hydrox...

โพสต์เมื่อ August 4, 2022 ใน Ransomware

Po Ransomware

Po Ransomware เป็นตัวแปรจากตระกูลมัลแวร์ Dharma ที่น่าอับอาย อาชญากรไซเบอร์สามารถใช้ภัยคุกคามเพื่อล็อคข้อมูลของเหยื่อได้ ภัยคุกคามจากแรนซัมแวร์ได้รับการออกแบบมาโดยเฉพาะเพื่อเข้ารหัสไฟล์สำคัญ เช่น เอกสาร PDF ไฟล์เก็บถาวร ฐานข้อมูล รูปภาพ ฯลฯ จากนั้นผู้โจมตีจะใช้ประโยชน์จากข้อมูลที่ได้รับผลกระทบเพื่อรีดไถเงินจากเหยื่อ Po Ransomware ปฏิบัติตามพฤติกรรมทั่วไปที่เกี่ยวข้องกับตัวแปรของ ธรรมะ มันแก้ไขชื่อของไฟล์ที่ถูกล็อคโดยแนบสตริง ID อีเมลและนามสกุลไฟล์ใหม่เข้ากับพวกเขา ที่อยู่อีเมลที่เพิ่มในชื่อไฟล์คือ 'recovery2022@tutanota.com' ในขณะที่นามสกุลไฟล์คือ '.Po' ภัยคุกคามยังจะลบบันทึกค่าไถ่สองรายการบนระบบที่ติดไวรัส หนึ่งในข้อความเรียกร้องค่าไถ่จะถูกส่งเป็นไฟล์ข้อความชื่อ 'info.txt' คำแนะนำภายในไฟล์นั้นสั้นมาก...

โพสต์เมื่อ August 4, 2022 ใน Ransomware

SHARPEXT ส่วนขยายเบราว์เซอร์

อาชญากรไซเบอร์ใช้ส่วนขยายเบราว์เซอร์ที่เสียหายชื่อ SHARPEXT เพื่อรวบรวมอีเมลของเหยื่อ การดำเนินการนี้มีเป้าหมายสูงต่อบุคคลที่น่าสนใจ ต่างจากส่วนขยายที่เสียหายอื่นๆ SHARPEXT ไม่ได้มุ่งหมายที่จะรับชื่อผู้ใช้และรหัสผ่าน แต่หากสร้างไว้อย่างสมบูรณ์บนอุปกรณ์ ภัยคุกคามจะสามารถตรวจสอบและกรองข้อมูลจากบัญชีเว็บเมลของเป้าหมายได้โดยตรงในขณะที่กำลังใช้งาน ส่วนขยายสามารถดึงข้อมูลจากทั้ง Gmail และ AOL นักวิจัยที่เปิดเผยรายละเอียดเกี่ยวกับการรณรงค์โจมตีนั้นมาจากผู้คุกคามชาวเกาหลีเหนือที่พวกเขาติดตามในชื่อ SharpTongue ตามรายงานของพวกเขา กิจกรรมบางอย่างของกลุ่มทับซ้อนกับกลุ่มอาชญากรไซเบอร์ที่รู้จักกันในนาม Kimsuky จนถึงตอนนี้ ได้รับการยืนยันแล้วว่า SharpTongue มักกำหนดเป้าหมายไปยังองค์กรและบุคคลจากสหรัฐอเมริกา สหภาพยุโรป และเกาหลีใต้ โดยทั่วไปแล้ว...

โพสต์เมื่อ August 3, 2022 ใน Malware, Stealers

Healthy Adware

Healthy โดยแอปพลิเคชัน HealthySoftware ได้รับการจัดประเภทเป็นแอดแวร์และ PUP มีแนวโน้มมากที่สุดว่าจะแพร่กระจายผ่านกลยุทธ์การแจกจ่ายที่น่าสงสัย เช่น ชุดซอฟต์แวร์หรือโปรแกรมติดตั้งปลอม แอปพลิเคชันประเภทนี้มุ่งหวังที่จะติดตั้งโดยไม่ดึงดูดความสนใจของผู้ใช้ สุขภาพอาจได้รับการส่งเสริมโดยเว็บไซต์ที่น่าสงสัยซึ่งอาจพยายามโน้มน้าวผู้ใช้ว่าแอปพลิเคชันให้คำแนะนำที่เกี่ยวข้องเกี่ยวกับการบรรลุวิถีชีวิตที่มีสุขภาพดีขึ้น เมื่อสร้างบนอุปกรณ์แล้ว แอปพลิเคชันแอดแวร์จะเริ่มเรียกใช้แคมเปญโฆษณาที่รบกวนซึ่งอาจส่งผลให้มีการแสดงโฆษณาที่ไม่ต้องการอย่างต่อเนื่องในระบบที่ได้รับผลกระทบ ควรสังเกตว่า Healthy ดูเหมือนจะเกี่ยวข้องกับโปรแกรมที่น่าสงสัยอื่นที่รู้จักกันในชื่อ Strength by StrenghtTech เมื่อสร้างอุปกรณ์อย่างสมบูรณ์แล้ว Healthy...

โพสต์เมื่อ August 3, 2022 ใน Potentially Unwanted Programs, แอดแวร์

MacOS Ventura แบตเตอรี่เดรน

การอัพเดท macOS แต่ละครั้งจะนำฟังก์ชันและคุณสมบัติใหม่ๆ ที่สำคัญมาสู่อุปกรณ์ Mac ของผู้ใช้ ผลข้างเคียงที่โชคร้ายอย่างหนึ่งของความสามารถที่เพิ่มขึ้นคือความเครียดเพิ่มเติมที่อุปกรณ์ Mac รุ่นเก่าอาจประสบ ด้วยเหตุนี้ ผู้ใช้ macOS Ventura บางรายอาจสังเกตเห็นการชะลอตัวเป็นครั้งคราวหรือความต้องการพลังงานที่เพิ่มขึ้น หลังจากอัปเกรดจากเวอร์ชันก่อนหน้า การใช้พลังงานที่สูงขึ้นอาจทำให้แบตเตอรี่หมดเร็วขึ้นและลดเวลาการทำงานของอุปกรณ์ สัญญาณที่ชัดเจนที่สุดว่า macOS Venture เป็นผู้ร้ายที่อยู่เบื้องหลังการระบายแบตเตอรี่ที่เร็วขึ้นคือการยืนยันว่า Mac อยู่ในการชาร์จเต็มในระยะเวลาที่สั้นกว่ามากเมื่อเทียบกับ macOS เวอร์ชันเก่า ผู้ใช้อาจได้ยินว่าพัดลมของอุปกรณ์หมุนบ่อยขึ้น เช่นเดียวกับ Mac ทั้งเครื่องที่ร้อนขึ้นเร็วขึ้นมาก แม้ว่าจะไม่มีอะไรสำคัญ...

โพสต์เมื่อ August 3, 2022 ใน Issue

Severalsituations.click

Severalsituations.click เป็นหน้าที่สามารถแสดงกลยุทธ์ออนไลน์ต่างๆ แก่ผู้ใช้ ในขณะเดียวกันก็ขอให้พวกเขาเปิดใช้งานการแจ้งเตือนแบบพุช ลักษณะการทำงานนี้เป็นเรื่องปกติในเว็บไซต์หลอกลวงที่ไม่ได้ให้เนื้อหาที่มีความหมายและดูเหมือนสนใจที่จะใช้ประโยชน์จากผู้เยี่ยมชมเป็นส่วนใหญ่ กลยุทธ์หนึ่งที่ได้รับการยืนยันโดย Severalsituations.click คือ 'พีซีของคุณติดไวรัส 5 ตัว!' โครงร่างเฉพาะนี้ประกอบด้วยการสร้างหน้าต่างป๊อปอัปหลายหน้าต่างที่มีการแจ้งเตือนและคำเตือนด้านความปลอดภัยที่เป็นเท็จหรือทำให้เข้าใจผิด โดยทั่วไป ข้อมูลจะถูกนำเสนอราวกับว่ามาจากบริษัทซอฟต์แวร์ที่ถูกต้องตามกฎหมาย เช่น Norton หรือ McAfee แน่นอนว่าบริษัทจริงไม่มีส่วนเกี่ยวข้องกับหน้าต่อต้านเหล่านี้ ผู้ใช้ไม่ควรเชื่อถือผลลัพธ์ของการสแกนภัยคุกคามที่ถูกกล่าวหาโดยเพจที่น่าสงสัยเช่นกัน...

โพสต์เมื่อ August 3, 2022 ใน Rogue Websites, แอดแวร์

DawDropper มัลแวร์มือถือ

DawDropper เป็นภัยคุกคามที่อาชญากรไซเบอร์ใช้ในระยะเริ่มต้นของการติดมัลแวร์ โดยเฉพาะอย่างยิ่ง DawDropper เป็นมัลแวร์ที่ได้รับมอบหมายให้ส่งเพย์โหลดขั้นต่อไปไปยังอุปกรณ์ที่ถูกละเมิดแล้ว ภัยคุกคามมุ่งเป้าไปที่อุปกรณ์ Android และพบว่าส่วนใหญ่ดึงและดำเนินการโทรจันของธนาคาร ซึ่งรวมถึง Ermac 2.0 , Octo , Hydra และ TeaBot ภัยคุกคาม DawDropper กำลังเสนอขายให้กับอาชญากรไซเบอร์ในรูปแบบ MaaS (Malware-as-a-Service) นักพัฒนาของภัยคุกคามจะอนุญาตให้ลูกค้าของพวกเขาใช้ DawDropper ในระยะเวลาที่จำกัด ขึ้นอยู่กับค่าธรรมเนียมที่ชำระ และโดยปกติแล้ว จะต้องชำระเงินทุกเดือน ในทางกลับกัน อาชญากรไซเบอร์ก็สามารถแอบดูภัยคุกคามบน Google Play Store อย่างเป็นทางการได้ภายใต้หน้ากากของแอปพลิเคชั่นอาวุธมากกว่าโหล...

โพสต์เมื่อ August 3, 2022 ใน Mobile Malware

OrionRound

OrionRound เป็นอีกหนึ่ง PUP ที่ล่วงล้ำโดยกำหนดเป้าหมายไปยังผู้ใช้ Mac นอกจากนี้ การวิเคราะห์ได้ยืนยันว่าแอปพลิเคชันนี้เป็นส่วนหนึ่งของตระกูลแอดแวร์ AdLoad ที่อุดมสมบูรณ์ ดังนั้นจึงมีแนวโน้มว่านักต้มตุ๋นกำลังใช้วิธีการที่น่าสงสัยหลากหลายวิธีในการเผยแพร่ผลงานสร้างสรรค์ของพวกเขา PUPs (โปรแกรมที่อาจไม่เป็นที่ต้องการ) เช่นนี้มักไม่ค่อยได้รับการติดตั้งโดยผู้ใช้ด้วยความเต็มใจ โดยปกติแล้ว แอปพลิเคชันจะถูกวางไว้ในชุดซอฟต์แวร์ที่น่าสงสัยหรือแทรกลงในโปรแกรมติดตั้ง/อัปเดตปลอมโดยสิ้นเชิง ไม่ว่า OrionRound จะพบตัวเองใน Mac ของผู้ใช้อย่างไร แอปพลิเคชันก็มีแนวโน้มที่จะเริ่มสร้างรายได้จากการแสดงตนที่นั่นผ่านแคมเปญโฆษณาที่ล่วงล้ำ แอปพลิเคชั่นแอดแวร์มีชื่อเสียงในการสร้างโฆษณาที่น่าสงสัยมากมาย ซึ่งอาจรบกวนประสบการณ์ของผู้ใช้บนอุปกรณ์ ที่สำคัญกว่านั้น...

โพสต์เมื่อ August 3, 2022 ใน Mac Malware, แอดแวร์, Potentially Unwanted Programs

Urgentscanur.com

เว็บไซต์ Urgentscanur.com ดูเหมือนจะทุ่มเทให้กับการเผยแพร่กลยุทธ์ออนไลน์เป็นส่วนใหญ่ ดังนั้น ผู้ใช้ที่พบว่าตัวเองเข้ามาที่หน้าควรใช้ความระมัดระวังเมื่อต้องจัดการกับข้อความต่างๆ ที่แสดงโดยไซต์ เช่นเดียวกับเว็บไซต์หลอกลวงส่วนใหญ่ Urgentscanur.com ยังไม่น่าจะเข้าเยี่ยมชมโดยผู้ใช้โดยเจตนา หน้าดังกล่าวอาจได้รับการส่งเสริมผ่านการบังคับเปลี่ยนเส้นทางที่เกิดจากเครือข่ายโฆษณาหลอกลวงหรือ PUP ที่ล่วงล้ำ (โปรแกรมที่อาจไม่เป็นที่ต้องการ) เมื่อนักวิจัยด้านความปลอดภัยทางไซเบอร์ตรวจสอบหน้าดังกล่าว พวกเขายืนยันว่า Urgentscanur.com กำลังดำเนินการเวอร์ชัน 'พีซีของคุณติดไวรัส 5 ตัว' ชั้นเชิง มันเกี่ยวข้องกับการแสดงให้ผู้ใช้เห็นการแจ้งเตือนความปลอดภัยปลอมและทำให้เข้าใจผิดจำนวนมากซึ่งนำเสนอราวกับว่ามาจากบริษัทซอฟต์แวร์ที่มีชื่อเสียง...

โพสต์เมื่อ August 3, 2022 ใน Rogue Websites, แอดแวร์

ไฟล์แรนซัมแวร์

นักวิจัยด้านความปลอดภัยทางไซเบอร์เตือนผู้ใช้เกี่ยวกับภัยคุกคามแรนซัมแวร์ที่เป็นอันตรายชื่อ File Ransomware File Ransomware สามารถล็อคไฟล์ประเภทต่างๆ มากมาย ทำให้ผู้ใช้ไม่สามารถเข้าถึงข้อมูลของตนเองได้อย่างมีประสิทธิภาพ ผู้โจมตีสามารถใช้ไฟล์ที่เข้ารหัสเพื่อรีดไถเงินจากเหยื่อได้ แม้ว่า File Ransomware จะได้รับการยืนยันว่าเป็นตัวแปรจากตระกูลมัลแวร์ Phobos แต่ความสามารถในการสร้างความเสียหายยังคงมีความสำคัญ ผู้ที่ตกเป็นเหยื่อของ File Ransomware จะสังเกตเห็นว่าไฟล์ที่ได้รับผลกระทบทั้งหมดมีการแก้ไขชื่ออย่างมีนัยสำคัญ อันที่จริง File Ransomware เพิ่มสตริง ID ที่อยู่อีเมลที่ควบคุมโดยผู้โจมตี และ '.FILE' ให้กับชื่อของไฟล์ที่เข้ารหัส นอกจากนี้ มัลแวร์จะปล่อยไฟล์ใหม่สองไฟล์บนอุปกรณ์ที่ถูกละเมิด ไฟล์เหล่านี้มีชื่อว่า 'info.hta' และ...

โพสต์เมื่อ August 3, 2022 ใน Ransomware