ประจำวันพุธที่ 24 มิถุนายน 2569

พบการโจมตีผ่าน WhatsApp แฮกเกอร์ส่งไฟล์ VBScript ปลอมแปลงเป็นเอกสารธุรกิจเพื่อเข้าควบคุมระบบ

พบรายงานแคมเปญการโจมตีทางไซเบอร์ที่มุ่งเป้าไปยังผู้ใช้งานแอปพลิเคชัน WhatsApp ในหลายประเทศทั่วโลก รวมถึงประเทศในภูมิภาคเอเชีย โดยผู้ไม่ประสงค์ดีได้ส่งข้อความหลอกลวงพร้อมแนบไฟล์อันตรายประเภท VBScript ผ่านทางบัญชี WhatsApp ที่ถูกแฮก การโจมตีนี้อาศัยความน่าเชื่อถือของบุคคลในรายชื่อผู้ติดต่อเพื่อหลอกให้เหยื่อดาวน์โหลดไฟล์ที่ตั้งชื่อเลียนแบบเอกสารทางธุรกิจหรือใบแจ้งหนี้ ซึ่งหากเหยื่อหลงเชื่อและเปิดไฟล์ดังกล่าวบนระบบปฏิบัติการ Windows จะนำไปสู่กระบวนการลอบติดตั้งโปรแกรมอันตราย และส่งผลให้ระบบคอมพิวเตอร์ถูกควบคุมจากระยะไกลโดยผู้ไม่ประสงค์ดี

จากการวิเคราะห์รูปแบบการโจมตีพบว่า ผู้ไม่ประสงค์ดีจะส่งไฟล์นามสกุล .vbs หรือ .vbe ที่ตั้งชื่อสอดคล้องกับภาษาท้องถิ่นและบริบททางการเงิน เช่น "Reconciliation.vbs", "Acknowledgment of Debt.vbs" หรือ "Customer Statement(A).vbe" เมื่อผู้ใช้งานสั่งรันไฟล์ สคริปต์จะทำงานผ่าน Windows Script Host และดาวน์โหลดสคริปต์เพิ่มเติมเพื่อทำการแก้ไขค่า Registry (ตั้งค่า ConsentPromptBehaviorAdmin เป็น 0) สำหรับข้ามการตรวจสอบความปลอดภัย UAC ของ Windows จากนั้นจะทำการดาวน์โหลดไฟล์ ZIP ซึ่งภายในบรรจุโปรแกรม ManageEngine Endpoint Central (เช่น ไฟล์ UEMSAgent.msi และ setup1.vbs) โดยสคริปต์จะลอบติดตั้งซอฟต์แวร์ดังกล่าวแบบซ่อนตัว และตั้งค่าให้ระบบเชื่อมต่อไปยังเซิร์ฟเวอร์ของผู้ไม่ประสงค์ดี ทำให้แฮกเกอร์ได้รับสิทธิ์ผู้ดูแลระบบและสามารถควบคุมเครื่องของเหยื่อได้ เบื้องต้นพบความเชื่อมโยงของโครงสร้างพื้นฐานกับกลุ่มภัยคุกคามบางกลุ่ม แต่ยังอยู่ระหว่างการรวบรวมหลักฐานเพื่อยืนยันให้แน่ชัด

เพื่อเป็นการลดความเสี่ยงและป้องกันการตกเป็นเหยื่อ ผู้ใช้งานควรเพิ่มความระมัดระวังในการดาวน์โหลดหรือเปิดไฟล์ที่ส่งผ่านแอปพลิเคชัน แม้จะเป็นไฟล์ที่ส่งมาจากรายชื่อผู้ติดต่อที่รู้จักก็ตาม หากพบการส่งไฟล์ที่ผิดสังเกต ควรตรวจสอบผู้ที่ส่งเพื่อยืนยันตัวตนและจุดประสงค์ของผู้ส่งผ่านช่องทางการสื่อสารอื่นเสมอ นอกจากนี้ ไม่ควรคลิกเปิดไฟล์นามสกุลที่เกี่ยวข้องกับสคริปต์โดยตรง และควรตรวจสอบไฟล์ที่ดาวน์โหลดทุกครั้งด้วยโปรแกรมป้องกันไวรัสที่ได้รับการอัปเดตฐานข้อมูลให้เป็นปัจจุบัน สำหรับผู้ดูแลระบบองค์กร ควรเฝ้าระวังพฤติกรรมการติดตั้งซอฟต์แวร์ที่ผิดปกติ โดยเฉพาะเครื่องมือจัดการระบบระยะไกลที่ไม่ได้รับอนุญาต เพื่อป้องกันความเสียหายที่อาจเกิดขึ้นกับเครือข่ายภายในองค์กร

แหล่งข่าว : https://www.bleepingcomputer.com/news/security/whatsapp-phishing-attack-uses-fake-business-docs-to-hack-pcs/

Xsolis เปิดเผยเหตุข้อมูลรั่วไหล กระทบบุคคลเกือบ 1.4 ล้านราย หลังถูกโจมตีแบบ Phishing

Xsolis, Inc. บริษัทเทคโนโลยีด้านสุขภาพในสหรัฐอเมริกา ให้บริการโซลูชันด้าน Utilization Management และ Revenue Cycle สำหรับผู้ให้บริการด้านสุขภาพ เปิดเผยเหตุการณ์ข้อมูลรั่วไหลที่ส่งผลกระทบต่อบุคคลเกือบ 1.4 ล้านราย โดยบริษัทระบุว่า เมื่อวันที่ 22 มกราคม 2569 ได้ตรวจพบกิจกรรมที่ไม่ได้รับอนุญาตในบางส่วนของระบบของ Xsolis ซึ่งเป็นผลจากการโจมตีแบบ Phishing แบบเจาะจงเป้าหมายเมื่อวันที่ 20 มกราคม 2569 หลังพบเหตุ บริษัทได้ควบคุมเหตุการณ์ดังกล่าวทันที และเริ่มการสอบสวนร่วมกับผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์จากภายนอก

จากผลการสอบสวนพบว่า ผู้ไม่หวังดีสามารถเข้าถึงและได้มาซึ่งไฟล์บางส่วนที่มีข้อมูลส่วนบุคคลและข้อมูลสุขภาพที่ได้รับการคุ้มครอง ซึ่ง Xsolis ได้รับจากลูกค้ากลุ่มโรงพยาบาลและผู้ชำระค่าบริการด้านสุขภาพ โดยข้อมูลที่อาจได้รับผลกระทบแตกต่างกันไปในแต่ละบุคคล และอาจรวมถึงชื่อ ที่อยู่ วันเดือนปีเกิด ข้อมูลประกันสุขภาพ หมายเลข Social Security และข้อมูลเกี่ยวกับการรักษาพยาบาล ทั้งนี้ Xsolis ระบุว่ายังไม่พบหลักฐานว่ามีการนำข้อมูลดังกล่าวไปใช้ในทางที่ผิดหรือมีความพยายามนำไปใช้ในทางที่ผิดจากเหตุการณ์นี้

Xsolis ได้รายงานเหตุการณ์ต่อหน่วยงานบังคับใช้กฎหมาย ดำเนินมาตรการเสริมด้านความปลอดภัยเพื่อป้องกันเหตุลักษณะเดียวกันในอนาคต และอยู่ระหว่างแจ้งเตือนบุคคลที่อาจได้รับผลกระทบทางไปรษณีย์ พร้อมให้คำแนะนำในการปกป้องข้อมูล รวมถึงบริการตรวจสอบเครดิตและคุ้มครองตัวตนโดยไม่มีค่าใช้จ่าย นอกจากนี้ บริษัทยังจัดตั้งศูนย์บริการทางโทรศัพท์เพื่อให้ข้อมูลและช่วยเหลือผู้ได้รับผลกระทบในการลงทะเบียนใช้บริการคุ้มครอง ทั้งนี้ แม้บริษัทไม่ได้เปิดเผยรายละเอียดทางเทคนิคหรือจำนวนผู้ได้รับผลกระทบโดยตรง แต่ข้อมูลจากกระทรวงสาธารณสุขและบริการมนุษย์ของสหรัฐฯ ระบุว่ามีผู้ได้รับผลกระทบจำนวน 1,396,519 ราย

แหล่งข่าว : https://securityaffairs.com/194067/cyber-crime/xsolis-data-breach-impacts-1-4-million-people.html

Apple แก้ช่องโหว่ Beats Studio Buds หลังพบความเสี่ยงถูกดักฟังผ่านไมโครโฟน

Apple ออกอัปเดตความปลอดภัยสำหรับ Beats Studio Buds เพื่อแก้ไขช่องโหว่ CVE-2025–20701 ซึ่งอาจทำให้ผู้โจมตีที่อยู่ในระยะสัญญาณ Bluetooth สามารถฟังเสียงผ่านไมโครโฟนของอุปกรณ์ได้ หากหูฟังยังไม่ได้จับคู่และอยู่ในสถานะกำลังค้นหาคำขอจับคู่ โดยช่องโหว่เกี่ยวข้องกับโค้ดโอเพนซอร์สที่ถูกใช้งานในส่วนประกอบของระบบ Bluetooth

รายงานระบุว่า ช่องโหว่ดังกล่าวเกี่ยวข้องกับปัญหาการตรวจสอบสิทธิ์ใน Bluetooth BR/EDR radio โดยนักวิจัยจาก ERNW GmbH เคยเปิดเผยรายละเอียดและสาธิต Proof-of-Concept ว่า ผู้โจมตีที่อยู่ใกล้อุปกรณ์อาจใช้ช่องโหว่เพื่อเข้าถึงไมโครโฟนของหูฟังได้ และหากเชื่อมโยงกับช่องโหว่อื่นในส่วนประกอบเดียวกัน อาจนำไปสู่การควบคุมฟังก์ชันบางอย่างของหูฟังและการเชื่อมต่อกับโทรศัพท์ได้ในบางกรณี อย่างไรก็ตาม การโจมตีจริงต้องอาศัยความใกล้ชิดทางกายภาพและมีความซับซ้อนทางเทคนิค

Apple ได้แก้ไขช่องโหว่นี้แล้วใน Beats Firmware Update 1B211 โดยอัปเดตจะถูกติดตั้งโดยอัตโนมัติเมื่อ Beats Studio Buds จับคู่และอยู่ในระยะ Bluetooth กับ iPhone, iPad หรือ Mac ผู้ใช้งานควรตรวจสอบเวอร์ชันเฟิร์มแวร์ของหูฟังผ่านเมนู Bluetooth บนอุปกรณ์ของตน หลีกเลี่ยงการเปิดหูฟังทิ้งไว้ในโหมดจับคู่โดยไม่จำเป็น และอัปเดตอุปกรณ์ที่ใช้เชื่อมต่อให้เป็นเวอร์ชันล่าสุดอยู่เสมอ

แหล่งข่าว : https://hackread.com/beats-studio-buds-flaw-attackers-eavesdrop-users/