ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

18 ข่าว

Rokarolla มัลแวร์ Android ตัวใหม่ — ขโมย PIN, รหัส OTP และเงินในกระเป๋าคริปโต

Rokarolla Android banking trojan malware cryptocurrency theft
นักวิจัยจาก Zimperium พบมัลแวร์ Android banking trojan ตัวใหม่ชื่อ Rokarolla ที่เล็งเป้า 217 แอปธนาคารและคริปโต มี 137 คำสั่งควบคุมระยะไกล สามารถขโมย PIN หน้าจอล็อก ดักจับ SMS OTP สลับที่อยู่กระเป๋าคริปโตใน clipboard และปิด Google Play Protect ได้

แฮ็กเกอร์เกาหลีเหนือแปลง Developer Tools เป็นช่องทางส่งมัลแวร์ — แคมเปญ UNK_DeadDrop โจมตีเกือบ 100 องค์กรผ่าน VS Code และ GitHub

North Korean hackers UNK_DeadDrop malware campaign targeting developers via VS Code
นักวิจัยจาก Proofpoint เปิดโปงแคมเปญ UNK_DeadDrop ที่เชื่อมโยงกับเกาหลีเหนือ โจมตีนักพัฒนาในเกือบ 100 องค์กรด้วยอีเมลฟิชชิงหลอกให้โคลน GitHub Repository อันตรายแล้วเปิดใน VS Code ซึ่งจะรันมัลแวร์อัตโนมัติทั้งบน Windows, macOS และ Linux พร้อมกันนี้ยังพบ VS Code Extension ที่เป็น Backdoor บน Marketplace อย่างเป็นทางการอีกด้วย

Europol ทลายเครือข่ายฟอกเงินคริปโท AudiA6 มูลค่า 336 ล้านยูโร — จับผู้ต้องหา 2 ราย ยึดโดเมน 25 รายการ

Europol AudiA6 cryptocurrency laundering network disruption
Europol ร่วมกับ FBI และหน่วยงานบังคับใช้กฎหมายหลายประเทศทลายเครือข่ายฟอกเงินคริปโทเคอร์เรนซีชื่อ AudiA6 ที่ฟอกเงินรวมกว่า 336 ล้านยูโรตั้งแต่ปี 2564 จับกุมผู้ต้องหาสัญชาติยูเครนและรัสเซีย 2 ราย ยึดโดเมน 25 รายการและเซิร์ฟเวอร์กว่า 30 เครื่อง พบว่าเครือข่ายนี้เชื่อมโยงกับเงินที่ถูกขโมยจากเหตุการณ์แฮ็ก LastPass ในปี 2565

SHub Reaper — มัลแวร์ macOS สายพันธุ์ใหม่ใช้ ClickFix อัตโนมัติ เปิด Script Editor ขโมยเบราว์เซอร์และกระเป๋าคริปโต

SHub Reaper macOS stealer ClickFix Script Editor crypto wallet
บริษัท Moonlock พบ SHub Stealer สายพันธุ์ใหม่ชื่อ Reaper แพร่ผ่านเว็บปลอมที่เลียนแบบซอฟต์แวร์ยอดนิยม ใช้ ClickFix อัตโนมัติเปิด Script Editor ของ macOS โดยไม่ต้องให้ผู้ใช้วางโค้ดเอง ขโมยข้อมูลเบราว์เซอร์ 8 ยี่ห้อ กระเป๋าคริปโต 5 ตัว และฝัง backdoor ปลอมตัวเป็น Google Update ผู้ใช้ Mac ที่ดาวน์โหลดซอฟต์แวร์นอก App Store ควรระวังเป็นพิเศษ

JINX-0164 ใช้วิศวกรรมสังคมบน LinkedIn ปล่อยมัลแวร์ macOS เจาะองค์กรคริปโต — ลาม supply chain ผ่าน npm

JINX-0164 LinkedIn social engineering macOS malware crypto organizations
Wiz เปิดโปงกลุ่ม JINX-0164 ที่มีแรงจูงใจทางการเงิน ใช้โปรไฟล์ LinkedIn ปลอมหลอกนักพัฒนาคริปโตด้วยข้อเสนองาน แล้วส่งลิงก์ประชุมปลอมเพื่อปล่อยมัลแวร์ macOS สองตระกูลคือ AUDIOFIX และ MINIRAT ขโมย credential เบราว์เซอร์ กระเป๋าคริปโต SSH key และ token คลาวด์ จากนั้นลามผ่าน supply chain ด้วยการฝังโค้ดในแพ็กเกจ npm @velora-dex/sdk และ push โค้ดร้ายเข้า repo ภายใน เปลี่ยนโครงสร้างพัฒนาขององค์กรให้กลายเป็นช่องแพร่เชื้อ

Lazarus ใช้ RemotePE — RAT รันใน Memory เท่านั้น โจมตีบริษัทการเงินและ Crypto ไม่ทิ้งร่องรอยบนดิสก์

Lazarus Group deploys RemotePE memory-only RAT targeting crypto and financial firms
กลุ่ม Lazarus ของเกาหลีเหนือใช้มัลแวร์ชื่อ RemotePE ซึ่งรันทั้งหมดใน Memory ไม่มีไฟล์บนดิสก์เลย ทำให้ตรวจจับยากมาก โดยใช้ Loader chain สองชั้นคือ DPAPILoader และ RemotePELoader ก่อนโหลด RAT เต็มรูปแบบจาก C2 มาทำงานในหน่วยความจำ นักวิจัยจาก Fox-IT พบว่าเครื่องมือชุดนี้ถูกพัฒนาระหว่างปี 2566-2567 และไม่เคยปรากฏใน VirusTotal ก่อนการเปิดเผย บ่งชี้ว่าถูกสงวนไว้สำหรับเป้าหมายมูลค่าสูงโดยเฉพาะ

TrapDoor Supply Chain — มัลแวร์ฝังใน 34 แพ็กเกจบน npm, PyPI และ Crates.io ขโมย Crypto Wallet และ SSH Key ของ Developer

TrapDoor supply chain malware targets npm PyPI Crates.io developer packages
แคมเปญ TrapDoor ปล่อยมัลแวร์ใน 34 แพ็กเกจและกว่า 384 เวอร์ชันข้ามระบบนิเวศ npm, PyPI และ Crates.io เพื่อขโมย Crypto Wallet, SSH Key และข้อมูลรับรองตัวตนของ Developer โดยเฉพาะในชุมชน DeFi, Solana และ AI มัลแวร์ยังโจมตี AI Coding Assistant ผ่านการแก้ไขไฟล์ .cursorrules และ CLAUDE.md โดยฝังคำสั่งซ่อนด้วย Unicode พิเศษ บริษัท Socket ตรวจพบแคมเปญนี้ในเวลาเฉลี่ย 5 นาที 27 วินาทีหลังปล่อย

มัลแวร์ Reaper ใหม่โจมตี macOS — ขโมยรหัสผ่าน คริปโต และข้อมูลเบราว์เซอร์ผ่านโดเมนปลอม Microsoft

Reaper malware targeting macOS users
SentinelLABS ค้นพบมัลแวร์ Reaper ซึ่งเป็นสายพันธุ์ใหม่ของ SHub Infostealer ที่สามารถหลบเลี่ยงการอัปเดตความปลอดภัยของ macOS Tahoe 26.4 ได้ มัลแวร์แพร่กระจายผ่านเว็บไซต์ดาวน์โหลดปลอมของ WeChat และ Miro โดยใช้โดเมน Typosquatting ของ Microsoft ขโมยรหัสผ่าน ข้อมูลเบราว์เซอร์ และคริปโตวอลเล็ต พร้อมฝัง Backdoor ถาวร