🧨 “Red Hat ถูกเจาะ GitHub — แฮกเกอร์อ้างขโมยข้อมูลลูกค้า 800 ราย รวมถึงหน่วยงานรัฐสหรัฐฯ” กลุ่มแฮกเกอร์ชื่อ Crimson Collective ได้ออกมาอ้างว่าเจาะระบบ GitHub ส่วนตัวของ Red Hat และขโมยข้อมูลไปกว่า 570GB จากโปรเจกต์ภายในกว่า 28,000 รายการ โดยหนึ่งในข้อมูลที่ถูกกล่าวถึงคือเอกสาร Customer Engagement Records (CERs) จำนวนกว่า 800 ชุด ซึ่งเป็นเอกสารที่ใช้ในการให้คำปรึกษาแก่ลูกค้าองค์กร และมักมีข้อมูลละเอียดเกี่ยวกับโครงสร้างระบบ, การตั้งค่าเครือข่าย, token สำหรับเข้าถึงระบบ, และคำแนะนำการใช้งานที่อาจนำไปใช้โจมตีต่อได้ Red Hat ยืนยันว่ามีเหตุการณ์ด้านความปลอดภัยเกิดขึ้นจริงในส่วนของธุรกิจที่ปรึกษา แต่ยังไม่สามารถยืนยันได้ว่าข้อมูล CERs ถูกขโมยไปตามที่แฮกเกอร์กล่าวอ้างหรือไม่ และยืนยันว่าไม่มีผลกระทบต่อบริการหรือผลิตภัณฑ์อื่นของบริษัท Crimson Collective ยังอ้างว่าได้เข้าถึงโครงสร้างพื้นฐานของลูกค้าบางรายแล้ว โดยใช้ token และ URI ที่พบในเอกสาร CERs และโค้ดภายใน GitHub ซึ่งรวมถึงองค์กรใหญ่ระดับโลก เช่น Bank of America, T-Mobile, AT&T, Fidelity, Mayo Clinic, Walmart, กองทัพเรือสหรัฐฯ, FAA และหน่วยงานรัฐบาลอื่น ๆ แม้ Red Hat จะเริ่มดำเนินการแก้ไขแล้ว แต่การที่แฮกเกอร์เผยแพร่รายการไฟล์และตัวอย่างเอกสารบน Telegram ทำให้หลายฝ่ายกังวลว่าเหตุการณ์นี้อาจเป็นหนึ่งในการรั่วไหลของซอร์สโค้ดและข้อมูลลูกค้าครั้งใหญ่ที่สุดในประวัติศาสตร์ของวงการโอเพ่นซอร์ส ✅ ข้อมูลสำคัญจากข่าว ➡️ Crimson Collective อ้างว่าเจาะ GitHub ส่วนตัวของ Red Hat และขโมยข้อมูล 570GB ➡️ ข้อมูลที่ถูกขโมยมาจากกว่า 28,000 โปรเจกต์ภายใน ➡️ มี CERs กว่า 800 ชุดที่อาจมีข้อมูลโครงสร้างระบบ, token, และคำแนะนำการใช้งาน ➡️ Red Hat ยืนยันเหตุการณ์ด้านความปลอดภัยในธุรกิจที่ปรึกษา แต่ไม่ยืนยันการขโมย CERs ➡️ ข้อมูลที่ถูกอ้างว่ารั่วไหลมี URI ฐานข้อมูล, token, และข้อมูลที่เข้าถึงลูกค้า downstream ➡️ รายชื่อองค์กรที่อาจได้รับผลกระทบรวมถึง Bank of America, T-Mobile, AT&T, FAA และหน่วยงานรัฐ ➡️ แฮกเกอร์เผยแพร่รายการไฟล์และ CERs บน Telegram พร้อมตัวอย่างเอกสาร ➡️ Red Hat ยืนยันว่าไม่มีผลกระทบต่อผลิตภัณฑ์หรือบริการอื่น และมั่นใจในความปลอดภัยของซัพพลายเชนซอฟต์แวร์ ✅ ข้อมูลเสริมจากภายนอก ➡️ CERs เป็นเอกสารที่ปรึกษาภายในที่มักมีข้อมูลละเอียดเกี่ยวกับระบบของลูกค้า ➡️ การรั่วไหลของ token และ URI อาจนำไปสู่การเข้าถึงระบบของลูกค้าโดยตรง ➡️ GitHub ส่วนตัวขององค์กรมักมีโค้ดที่ยังไม่เปิดเผย, สคริปต์อัตโนมัติ, และข้อมูลการตั้งค่าระบบ ➡️ การเจาะระบบผ่าน GitHub เป็นหนึ่งในช่องทางที่นิยมในกลุ่มแฮกเกอร์ยุคใหม่ ➡️ การโจมตีลักษณะนี้อาจนำไปสู่การโจมตี supply chain ที่กระทบต่อหลายองค์กรพร้อมกัน https://www.techradar.com/pro/security/red-hat-confirms-major-data-breach-after-hackers-claim-mega-haul

Buy Verified Cash App Accounts https://globalseoshop.com/product/buy-verified-cash-app-accounts/ On the off chance that you need more data simply thump us- Email: Globalseoshop@gmail.com WhatsApp: +1(864)7088783 Skype: GlobalSeoShop Telegram: @GlobalSeoShop #BuyVerifiedCashAppAccounts #BuyVerifiedCashApp #VerifiedCashApp #CashApp #CashappVirtualMasterCard #CashapptoBtc #BuyUsaVerifiedCashApp #BuyfullVerifiedCashApp #BuyVerifiedCashAppBTCenable

Buy Verified Stripe Account https://globalseoshop.com/product/buy-verified-stripe-accounts/ On the off chance that you need more data simply thump us- Email: Globalseoshop@gmail.com WhatsApp: +1(864)7088783 Skype: GlobalSeoShop Telegram: @GlobalSeoShop #BuyVerifiedStripeAccount #BuyVerifiedStripe #VerifiedStripeAccount #StripeAccount #Stripe #buyoldstripeaccounts

Buy Verified Payoneer Account https://globalseoshop.com/product/buy-verified-payoneer-account-2023/ On the off chance that you need more data simply thump us- Email: Globalseoshop@gmail.com WhatsApp: +1(864)7088783 Skype: GlobalSeoShop Telegram: @GlobalSeoShop #BuyVerifiedPayoneerAccount #BuyPayoneerAccount #BuyPayoneerMasterCard #BuyPayPaltoPyoneer

Buy Bumble Verified Accounts https://globalseoshop.com/product/buy-bumble-verified-account/ On the off chance that you need more data simply thump us- Email: Globalseoshop@gmail.com WhatsApp: +1(864)7088783 Skype: GlobalSeoShop Telegram: @GlobalSeoShop #BuyBumbleVerifiedAccounts #BuyVerifiedBumbleAccounts #BuyBumbleAccounts #BumbleAccounts

Buy Verified Github Accounts https://globalseoshop.com/product/buy-github-accounts/ On the off chance that you need more data simply thump us- Email: Globalseoshop@gmail.com WhatsApp:+1(864)7088783 Skype: GlobalSeoShop Telegram: @GlobalSeoShop #Buy_Github_Accounts #Buy_old_Github_Accounts #Github_accounts_for_sale

Buy Telegram Accounts https://globalseoshop.com/product/buy-telegram-accounts/ On the off chance that you need more data simply thump us- Email: Globalseoshop@gmail.com WhatsApp: +1(864)7088783 Skype: GlobalSeoShop Telegram: @GlobalSeoShop #Buy_Telegram_Accounts #Buy_old-telegram_Accounts #buy_telegram_number #Buy_tg_phone_number #tg_accou

Buy telegram members https://globalseoshop.com/product/buy-telegram-members On the off chance that you need more data simply thump us- Email: Globalseoshop@gmail.com WhatsApp: +18647088783 Skype: GlobalSeoShop Telegram: @GlobalSeoShop #Buy_telegram_members #telegram_members #Buy_telegram_Accounts #Buy Telegram Accounts

🧼 “ลาก่อน Disqus — เมื่อระบบคอมเมนต์กลายเป็นเครื่องมือโฆษณาและติดตามผู้ใช้โดยไม่รู้ตัว” Ryan Southgate เจ้าของบล็อกด้านเทคโนโลยีได้ประกาศถอดระบบคอมเมนต์ Disqus ออกจากเว็บไซต์ของเขา หลังจากพบว่าแพลตฟอร์มนี้แสดงโฆษณาที่ “น่ารำคาญและดูหลอกลวง” บนหน้าเว็บของเขา โดยเฉพาะเมื่อไม่ได้ใช้ระบบบล็อกโฆษณาอย่าง Pi-hole หรือ VPN ที่เชื่อมต่อกลับบ้าน Disqus เคยเป็นระบบคอมเมนต์ที่ดูสะอาดและทันสมัย แต่เมื่อเปลี่ยนมาใช้โมเดล “ฟรีแต่มีโฆษณา” โดยไม่ได้แจ้งเตือนอย่างชัดเจน โฆษณาที่แสดงกลับมีลักษณะรุกล้ำและละเมิดความเป็นส่วนตัวของผู้ใช้อย่างเห็นได้ชัด เช่น การส่ง request ติดตามจำนวนมากผ่านเบราว์เซอร์ ซึ่ง Ryan ตรวจพบผ่าน Firefox Dev Tools เขายอมรับว่าในฐานะผู้ใช้ Pi-hole มานาน เขา “ลืมไปแล้วว่าเว็บทั่วไปมีโฆษณาเยอะแค่ไหน” และรู้สึกผิดที่ปล่อยให้ผู้เยี่ยมชมบล็อกของเขาต้องเผชิญกับประสบการณ์ที่ไม่ปลอดภัยเช่นนั้น Ryan จึงตัดสินใจลบ Disqus ออกจากเว็บไซต์ทันที พร้อมเปิดรับคำแนะนำจากผู้อ่านเกี่ยวกับระบบคอมเมนต์ทางเลือกที่เคารพความเป็นส่วนตัว เช่น ระบบ self-hosted หรือแบบ open-source ที่ไม่มีการติดตามผู้ใช้ ✅ ข้อมูลสำคัญจากข่าว ➡️ Ryan Southgate ถอด Disqus ออกจากบล็อกของเขาในวันที่ 30 กันยายน 2025 ➡️ เหตุผลหลักคือโฆษณาที่ดูหลอกลวงและระบบติดตามผู้ใช้ที่รุกล้ำ ➡️ Disqus เปลี่ยนมาใช้โมเดล “ฟรีแต่มีโฆษณา” โดยไม่ได้แจ้งเตือนชัดเจน ➡️ Ryan ใช้ Pi-hole และ VPN เพื่อบล็อกโฆษณา แต่พบปัญหาเมื่อปิดระบบเหล่านี้ ➡️ Firefox Dev Tools แสดงให้เห็น request ติดตามจำนวนมากจาก Disqus ➡️ Ryan ต้องการให้บล็อกของเขาเป็นพื้นที่สะอาด ปลอดโฆษณาและการติดตาม ➡️ เปิดรับคำแนะนำเกี่ยวกับระบบคอมเมนต์ทางเลือกที่เคารพความเป็นส่วนตัว ✅ ข้อมูลเสริมจากภายนอก ➡️ ระบบคอมเมนต์ทางเลือกที่เป็นแบบ self-hosted ได้แก่ Isso, Commento, Remark42, Cusdis ➡️ Isso เป็นระบบ lightweight ที่เขียนด้วย Python และ JavaScript ไม่มีโฆษณาหรือการติดตาม ➡️ Commento เป็นระบบ open-source ที่เน้นความเร็วและความเป็นส่วนตัว ➡️ Cusdis มีขนาดเล็ก (~5kb) รองรับ dark mode และสามารถเชื่อมต่อกับ Telegram ได้ ➡️ Remark42 เป็นระบบคอมเมนต์ที่ไม่เก็บข้อมูลผู้ใช้และสามารถฝังในเว็บไซต์ได้ง่าย ➡️ ระบบอย่าง Giscus และ Utterances ใช้ GitHub Issues/Discussions เป็นฐานข้อมูลคอมเมนต์ https://ryansouthgate.com/goodbye-disqus/

🕵️‍♂️ “วัยรุ่นดัตช์ถูกจับฐานสอดแนมให้รัสเซีย — เมื่อ Telegram กลายเป็นช่องทางล่อลวง และ Wi-Fi sniffer กลายเป็นอาวุธเงียบ” ในเหตุการณ์ที่สร้างความตกตะลึงให้กับสังคมเนเธอร์แลนด์ ตำรวจได้จับกุมวัยรุ่นชายอายุ 17 ปีจำนวน 2 คน ฐานต้องสงสัยว่าถูกกลุ่มแฮกเกอร์ที่สนับสนุนโดยรัฐบาลรัสเซียล่อลวงให้ทำภารกิจสอดแนม โดยหนึ่งในนั้นถูกพบขณะเดินผ่านสถานที่สำคัญในกรุงเฮก เช่น สำนักงาน Europol, Eurojust และสถานทูตแคนาดา พร้อมถืออุปกรณ์ที่เรียกว่า “Wi-Fi sniffer” ซึ่งสามารถดักจับข้อมูลจากเครือข่ายไร้สายใกล้เคียงได้ การจับกุมเกิดขึ้นหลังจากหน่วยข่าวกรอง AIVD ของเนเธอร์แลนด์ได้รับเบาะแส และนำไปสู่การบุกค้นบ้านของหนึ่งในผู้ต้องสงสัย ขณะเขากำลังทำการบ้านอยู่ โดยเจ้าหน้าที่สวมหน้ากากบุกเข้ามาพร้อมหมายค้น และยึดอุปกรณ์อิเล็กทรอนิกส์หลายรายการ วัยรุ่นทั้งสองถูกกล่าวหาว่าได้รับการติดต่อผ่าน Telegram ซึ่งเป็นแอปที่นิยมในหมู่เยาวชน และมักถูกใช้โดยกลุ่มแฮกเกอร์หรือหน่วยข่าวกรองต่างชาติในการล่อลวงเหยื่อผ่าน “งานง่าย ๆ” เช่น การเดินส่งพัสดุหรือถ่ายภาพสถานที่ราชการ โดยไม่รู้ว่าตนเองกำลังมีส่วนร่วมในภารกิจสอดแนมหรือแม้แต่การก่อวินาศกรรม หนึ่งในผู้ต้องสงสัยถูกควบคุมตัวไว้ ส่วนอีกคนถูกปล่อยตัวภายใต้การควบคุมที่บ้าน พร้อมติดกำไลอิเล็กทรอนิกส์ ขณะที่เจ้าหน้าที่ Europol ยืนยันว่าไม่มีระบบใดถูกเจาะ แต่ยอมรับว่ากำลังร่วมมือกับทางการเนเธอร์แลนด์ในการสอบสวนอย่างใกล้ชิด กรณีนี้สะท้อนแนวโน้มที่น่ากังวลในยุโรป ซึ่งเยาวชนและบุคคลเปราะบางถูกใช้เป็น “ตัวแทนที่ใช้แล้วทิ้ง” โดยกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐ เช่นในเยอรมนีและอังกฤษ ที่เคยมีการล่อลวงวัยรุ่นให้ส่งพัสดุที่ภายในมีระเบิดแอบแฝง โดยไม่รู้ตัวว่าตนเองกำลังกลายเป็นเครื่องมือของการก่อการร้าย ✅ ข้อมูลสำคัญจากข่าว ➡️ วัยรุ่นชาย 2 คนอายุ 17 ปีถูกจับในเนเธอร์แลนด์ ฐานต้องสงสัยสอดแนมให้กลุ่มแฮกเกอร์รัสเซีย ➡️ หนึ่งในนั้นถูกพบถือ Wi-Fi sniffer เดินผ่านสถานที่สำคัญในกรุงเฮก เช่น Europol และ Eurojust ➡️ การจับกุมเกิดขึ้นหลังจาก AIVD ได้รับเบาะแส และนำไปสู่การบุกค้นบ้านพร้อมหมายค้น ➡️ ผู้ต้องสงสัยถูกติดต่อผ่าน Telegram ซึ่งเป็นช่องทางที่นิยมในหมู่เยาวชน ➡️ หนึ่งคนถูกควบคุมตัว อีกคนถูกปล่อยตัวภายใต้การควบคุมที่บ้าน พร้อมติดกำไลอิเล็กทรอนิกส์ ➡️ Europol ยืนยันว่าไม่มีระบบถูกเจาะ และกำลังร่วมมือกับทางการเนเธอร์แลนด์ในการสอบสวน ➡️ กรณีนี้ถือเป็นครั้งแรกในเนเธอร์แลนด์ที่เยาวชนถูกกล่าวหาว่าถูกล่อลวงโดยรัฐต่างชาติ ➡️ ลักษณะการล่อลวงคล้ายกับกรณีในเยอรมนีและอังกฤษ ที่ใช้เยาวชนเป็น “ตัวแทนที่ใช้แล้วทิ้ง” ✅ ข้อมูลเสริมจากภายนอก ➡️ Wi-Fi sniffer เป็นอุปกรณ์หรือซอฟต์แวร์ที่ใช้ดักจับข้อมูลจากเครือข่ายไร้สาย ➡️ Telegram ถูกใช้โดยกลุ่มแฮกเกอร์และหน่วยข่าวกรองเพราะมีระบบเข้ารหัสและไม่เปิดเผยตัวตน ➡️ กลุ่ม APT28 ของรัสเซียเคยใช้เทคนิค “nearest neighbor attack” ผ่านเครือข่าย Wi-Fi ใกล้เป้าหมาย ➡️ Europol เคยนำทีมปราบกลุ่ม NoName057 (16) ซึ่งมีสมาชิกกว่า 4,000 คนที่โจมตีระบบในยุโรป ➡️ การล่อลวงผ่าน “งานง่าย ๆ” เช่น ส่งพัสดุหรือถ่ายภาพสถานที่ราชการ เป็นเทคนิคที่ใช้บ่อยในสงครามไซเบอร์ https://hackread.com/dutch-teens-arrested-spying-pro-russian-hackers/

🕵️‍♂️ “XCSSET กลับมาอีกครั้ง — มัลแวร์ macOS สายลับนักพัฒนา แอบขโมยข้อมูล Firefox และเปลี่ยนที่อยู่คริปโตในคลิปบอร์ด” Microsoft Threat Intelligence ได้เปิดเผยการกลับมาของมัลแวร์ XCSSET บน macOS ซึ่งเป็นภัยคุกคามที่เคยโจมตีนักพัฒนาผ่านโปรเจกต์ Xcode โดยเวอร์ชันล่าสุดในเดือนกันยายน 2025 นี้มีความสามารถใหม่ที่น่ากังวลยิ่งกว่าเดิม ทั้งการขโมยข้อมูลจากเบราว์เซอร์ Firefox การแฮ็กคลิปบอร์ดเพื่อขโมยคริปโต และการฝังตัวแบบแนบเนียนผ่าน LaunchDaemon2 XCSSET ใช้เทคนิค supply-chain โดยแฝงตัวในโปรเจกต์ Xcode ที่นักพัฒนามักแชร์กัน ทำให้การแพร่กระจายเกิดขึ้นโดยไม่รู้ตัว เมื่อมีการ build โปรเจกต์ มัลแวร์จะถูกเรียกใช้งานทันที เวอร์ชันใหม่นี้มีการเพิ่มโมดูลหลายตัว เช่น: 📂 ขโมยข้อมูลจาก Firefox: ใช้โค้ดจาก HackBrowserData เพื่อดึงรหัสผ่าน คุกกี้ ประวัติ และข้อมูลบัตรเครดิต 💸 แฮ็กคลิปบอร์ด: ตรวจจับ regex ของที่อยู่กระเป๋าคริปโต แล้วแทนที่ด้วยที่อยู่ของแฮกเกอร์ 🛡️ ฝังตัวผ่าน LaunchDaemon: ปลอมตัวเป็น “System Settings.app” และปิดการอัปเดตความปลอดภัยของ macOS 🧬 ใช้ AppleScript แบบ run-only และการเข้ารหัสหลายชั้นเพื่อหลบการตรวจจับ แม้การโจมตียังอยู่ในวงจำกัด แต่เป้าหมายชัดเจนคือกลุ่มนักพัฒนา macOS และผู้ใช้ที่เกี่ยวข้องกับคริปโต โดย Microsoft ได้ร่วมมือกับ Apple และ GitHub เพื่อลบ repository ที่มีโปรเจกต์ติดมัลแวร์ออกไปแล้ว ✅ ข้อมูลสำคัญจากข่าว ➡️ XCSSET เป็นมัลแวร์ macOS ที่แฝงตัวในโปรเจกต์ Xcode และรันตอน build ➡️ เวอร์ชันใหม่ขโมยข้อมูลจาก Firefox เช่น รหัสผ่าน คุกกี้ และบัตรเครดิต ➡️ มีโมดูลตรวจจับที่อยู่คริปโตในคลิปบอร์ด แล้วแทนที่ด้วยของแฮกเกอร์ ➡️ ใช้ LaunchDaemon ปลอมตัวเป็น System Settings.app เพื่อฝังตัว ➡️ ปิดการอัปเดต Rapid Security Response ของ Apple เพื่อหลบการตรวจจับ ➡️ ใช้ AppleScript แบบ run-only และการเข้ารหัสหลายชั้นเพื่อหลบการวิเคราะห์ ➡️ มีการตรวจสอบการติดตั้ง Telegram และ Firefox ก่อนรัน payload ➡️ Microsoft ร่วมมือกับ Apple และ GitHub เพื่อลบ repository ที่ติดมัลแวร์ ➡️ การโจมตียังอยู่ในวงจำกัด แต่มีแนวโน้มขยายตัวในกลุ่มนักพัฒนาและสายคริปโต ✅ ข้อมูลเสริมจากภายนอก ➡️ HackBrowserData เป็นเครื่องมือโอเพ่นซอร์สที่ใช้ดึงข้อมูลจากเบราว์เซอร์หลายตัว ➡️ regex (regular expression) เป็นเทคนิคที่ใช้ตรวจจับรูปแบบข้อมูล เช่น ที่อยู่คริปโต ➡️ LaunchDaemon เป็นระบบที่รันโปรเซสตอนบูต macOS และใช้ฝังมัลแวร์ได้ ➡️ AppleScript แบบ run-only ไม่สามารถเปิดดูโค้ดได้ ทำให้วิเคราะห์ยาก ➡️ supply-chain attack เป็นรูปแบบการโจมตีที่ใช้ช่องทางการพัฒนาเป็นตัวแพร่มัลแวร์ https://securityonline.info/xcsset-macos-malware-evolves-new-variant-targets-firefox-hijacks-clipboard-for-crypto-theft/

🚨 “แฮกเกอร์ปลอมเป็นตำรวจยูเครน ส่งไฟล์ SVG หลอกลวง — เปิดทางขโมยข้อมูลและขุดคริปโตแบบไร้ร่องรอย” ในเดือนกันยายน 2025 นักวิจัยจาก FortiGuard Labs ได้เปิดโปงแคมเปญฟิชชิ่งระดับความรุนแรงสูง ที่แฮกเกอร์ใช้เทคนิคปลอมตัวเป็น “สำนักงานตำรวจแห่งชาติยูเครน” ส่งอีเมลหลอกลวงไปยังองค์กรต่าง ๆ ที่ใช้ระบบ Windows โดยมีเป้าหมายเพื่อฝังมัลแวร์สองตัวคือ Amatera Stealer และ PureMiner อีเมลปลอมเหล่านี้แนบไฟล์ SVG ซึ่งเป็นไฟล์ภาพแบบข้อความที่สามารถฝังโค้ดอันตรายได้ เมื่อเหยื่อเปิดไฟล์ จะเห็นหน้าจอปลอมที่แสดงข้อความว่า “กำลังโหลดเอกสาร…” จากนั้นระบบจะดาวน์โหลดไฟล์ ZIP ที่มีรหัสผ่านแสดงไว้เพื่อให้ดูน่าเชื่อถือ ภายใน ZIP มีไฟล์ CHM (Compiled HTML Help) ซึ่งเป็นตัวเปิดมัลแวร์ผ่านสคริปต์ CountLoader CountLoader จะเชื่อมต่อกับเซิร์ฟเวอร์ระยะไกลเพื่อส่งข้อมูลระบบเบื้องต้น และโหลดมัลแวร์เข้าสู่หน่วยความจำโดยตรง ทำให้ตรวจจับได้ยาก เพราะไม่มีไฟล์ให้สแกนแบบปกติ มัลแวร์ตัวแรกคือ Amatera Stealer ซึ่งจะขโมยข้อมูลจากเบราว์เซอร์ (Chrome, Firefox), แอปแชต (Telegram, Discord), โปรแกรม FTP (FileZilla), Remote Access (AnyDesk), และกระเป๋าคริปโตยอดนิยม เช่น BitcoinCore, Exodus, Electrum โดยสามารถค้นหาไฟล์ลึกถึง 5 ชั้นในโฟลเดอร์ อีกตัวคือ PureMiner ซึ่งจะเก็บข้อมูลฮาร์ดแวร์ เช่น การ์ดจอ แล้วใช้ทรัพยากรของเครื่องเหยื่อในการขุดคริปโตแบบลับ ๆ ทั้ง CPU และ GPU โดยไม่ให้เจ้าของเครื่องรู้ตัว การโจมตีนี้ถูกจัดอยู่ในระดับ “High Severity” เพราะสามารถควบคุมเครื่องจากระยะไกล ขโมยข้อมูล และใช้ทรัพยากรโดยไม่ได้รับอนุญาต ✅ ข้อมูลสำคัญจากข่าว ➡️ แฮกเกอร์ปลอมเป็นตำรวจยูเครน ส่งอีเมลหลอกลวงพร้อมไฟล์ SVG ➡️ ไฟล์ SVG ถูกใช้เป็นช่องทางฝังโค้ดอันตรายแบบ text-based ➡️ เมื่อเปิดไฟล์ จะดาวน์โหลด ZIP ที่มีไฟล์ CHM เป็นตัวเปิดมัลแวร์ ➡️ ใช้ CountLoader เพื่อโหลดมัลแวร์เข้าสู่หน่วยความจำโดยตรง (fileless) ➡️ Amatera Stealer ขโมยข้อมูลจากเบราว์เซอร์ แอปแชต โปรแกรม FTP และกระเป๋าคริปโต ➡️ PureMiner ใช้ทรัพยากรเครื่องเหยื่อในการขุดคริปโตแบบลับ ๆ ➡️ การโจมตีนี้มีความรุนแรงสูง เพราะรวมทั้งการขโมยข้อมูลและการใช้ทรัพยากร ➡️ Fortinet พบว่าแคมเปญนี้ไม่ได้ระบุชัดว่าเป็นฝีมือของกลุ่มใด ✅ ข้อมูลเสริมจากภายนอก ➡️ SVG เป็นไฟล์ภาพที่สามารถฝัง JavaScript และทำงานเหมือน HTML ได้ ➡️ การโจมตีแบบ fileless ทำให้มัลแวร์ไม่ทิ้งร่องรอยในระบบไฟล์ ➡️ Amatera Stealer เป็นเวอร์ชันใหม่ของ ACR Stealer ที่ถูกพัฒนาให้หลบการตรวจจับได้ดีขึ้น ➡️ PureMiner ใช้เทคนิค DLL sideloading เพื่อหลบการตรวจสอบจากระบบป้องกัน ➡️ การใช้ไฟล์ SVG ในแคมเปญฟิชชิ่งเพิ่มขึ้นกว่า 40% ในปี 2025 https://hackread.com/fake-ukraine-police-notices-amatera-stealer-pureminer/

🎭 “แฮกเกอร์เวียดนามปลอมอีเมลแจ้งละเมิดลิขสิทธิ์ หลอกติดตั้งมัลแวร์ขโมยคริปโต — Lone None Stealer ระบาดผ่าน Telegram อย่างแนบเนียน” ตั้งแต่ปลายปี 2024 กลุ่มแฮกเกอร์ที่พูดภาษาเวียดนามชื่อว่า “Lone None” ได้เปิดปฏิบัติการโจมตีไซเบอร์ระดับโลก โดยใช้เทคนิคหลอกลวงผ่านอีเมลปลอมที่อ้างว่าเป็น “หนังสือแจ้งละเมิดลิขสิทธิ์” จากสำนักงานกฎหมายต่างประเทศ เพื่อหลอกให้เหยื่อดาวน์โหลดไฟล์มัลแวร์ที่แฝงตัวมาในรูปแบบเอกสารหลักฐาน อีเมลปลอมเหล่านี้ถูกเขียนในหลายภาษา เช่น อังกฤษ ฝรั่งเศส เยอรมัน และจีน เพื่อขยายขอบเขตการโจมตี โดยมักแนบลิงก์ให้ดาวน์โหลดไฟล์ ZIP ที่ภายในมีมัลแวร์ซ่อนอยู่ในไฟล์ PDF หรือ PNG ซึ่งดูเหมือนเอกสารจริง เมื่อเหยื่อเปิดไฟล์ มัลแวร์จะใช้เทคนิค DLL side-loading โดยอาศัยโปรแกรมที่ถูกเซ็นรับรอง เช่น Microsoft Word หรือ PDF Reader เพื่อรันโค้ดอันตรายโดยไม่ถูกตรวจจับ มัลแวร์ที่ใช้มีสองตัวหลัก ได้แก่ Pure Logs Stealer และ Lone None Stealer (หรือ PXA Stealer) โดย Pure Logs จะขโมยข้อมูลหลากหลาย เช่น รหัสผ่าน บัตรเครดิต คุกกี้ และไฟล์กระเป๋าคริปโต ส่วน Lone None Stealer จะเน้นขโมยคริปโตโดยเฉพาะ ด้วยการดัก clipboard แล้วเปลี่ยนที่อยู่กระเป๋าเงินให้เป็นของแฮกเกอร์แบบเงียบ ๆ ที่น่ากังวลคือ Lone None Stealer ใช้ Telegram เป็นช่องทาง Command & Control (C2) โดยซ่อนลิงก์ขั้นตอนถัดไปไว้ในโปรไฟล์บอต Telegram และส่งข้อมูลที่ขโมยได้กลับไปยังแฮกเกอร์ผ่านเครือข่าย Telegram อย่างรวดเร็ว รายงานล่าสุดจาก Cofense Intelligence พบว่า Lone None Stealer ปรากฏใน 29% ของเคสมัลแวร์ประเภท Pure Logs ตั้งแต่เดือนมิถุนายน 2025 ซึ่งแสดงถึงการเติบโตของการใช้งานมัลแวร์ตัวนี้ในวงกว้าง ✅ ข้อมูลสำคัญจากข่าว ➡️ กลุ่มแฮกเกอร์เวียดนาม “Lone None” ใช้อีเมลปลอมแจ้งละเมิดลิขสิทธิ์เพื่อหลอกติดตั้งมัลแวร์ ➡️ อีเมลถูกเขียนในหลายภาษาเพื่อขยายขอบเขตการโจมตี ➡️ มัลแวร์แฝงตัวในไฟล์ ZIP ที่ดูเหมือนเอกสารหลักฐาน เช่น PDF หรือ PNG ➡️ ใช้เทคนิค DLL side-loading ผ่านโปรแกรมที่ถูกเซ็นรับรอง ➡️ มัลแวร์หลักคือ Pure Logs Stealer และ Lone None Stealer (PXA Stealer) ➡️ Pure Logs ขโมยข้อมูลหลากหลาย เช่น รหัสผ่าน บัตรเครดิต คุกกี้ และไฟล์คริปโต ➡️ Lone None Stealer ดัก clipboard แล้วเปลี่ยนที่อยู่กระเป๋าเงินคริปโต ➡️ ใช้ Telegram เป็นช่องทาง C2 และซ่อนลิงก์ในโปรไฟล์บอต ➡️ พบ Lone None Stealer ใน 29% ของเคสมัลแวร์ประเภท Pure Logs ตั้งแต่ มิ.ย. 2025 ✅ ข้อมูลเสริมจากภายนอก ➡️ PXA Stealer ถูกเขียนด้วย Python และใช้เทคนิค sideloading ผ่านไฟล์ Word หรือ PDF ที่เซ็นรับรอง ➡️ แฮกเกอร์ใช้ Cloudflare Workers เพื่อส่งข้อมูลที่ขโมยได้ไปยัง Telegram ➡️ ข้อมูลที่ถูกขโมยถูกขายผ่านระบบสมาชิกใน Telegram เช่น Sherlock, Daisy Cloud, Moon Cloud ➡️ มีการพบเหยื่อกว่า 4,000 IP และข้อมูลที่ถูกขโมยรวมถึงรหัสผ่านกว่า 200,000 รายการ ➡️ กลุ่ม Lone None มีความเชื่อมโยงกับ CoralRaider และกลุ่มซื้อขายบัญชีใน Telegram https://hackread.com/vietnamese-hackers-fake-copyright-notice-lone-none-stealer/

🕵️ “ChatControl: กฎหมายใหม่ของ EU ที่จะสแกนทุกข้อความส่วนตัว — เมื่อการปกป้องเด็กกลายเป็นข้ออ้างในการสอดแนมประชาชน” สหภาพยุโรปกำลังผลักดันกฎหมายใหม่ที่ชื่อว่า “ChatControl” หรือชื่อเต็มคือ CSAR (Child Sexual Abuse Regulation) ซึ่งมีเป้าหมายในการป้องกันการล่วงละเมิดทางเพศเด็กในโลกออนไลน์ แต่เบื้องหลังของเจตนาดีนี้ กลับมีข้อเสนอที่อาจเปลี่ยนแปลงสิทธิความเป็นส่วนตัวของประชาชนยุโรปกว่า 450 ล้านคนอย่างถาวร ChatControl จะบังคับให้ทุกแพลตฟอร์มที่มีการสื่อสารระหว่างบุคคล — ไม่ว่าจะเป็นแอปแชตอย่าง Signal, WhatsApp, Telegram ไปจนถึงอีเมล, เกม, โซเชียลมีเดีย, แอปหาคู่, และแม้แต่บริการฝากไฟล์ — ต้องติดตั้งระบบ “Client-Side Scanning” ที่จะสแกนข้อความและภาพก่อนถูกเข้ารหัส ส่งผลให้แม้แต่แอปที่ใช้การเข้ารหัสแบบ End-to-End ก็ไม่สามารถปกป้องข้อมูลได้อีกต่อไป ระบบนี้จะตรวจจับ 3 ประเภทของเนื้อหา: 🔖 เนื้อหาที่ผิดกฎหมายที่มีอยู่ในฐานข้อมูล 🔖 เนื้อหาที่อาจเข้าข่ายผิดกฎหมายโดยใช้ AI วิเคราะห์ภาพ 🔖 พฤติกรรมการล่อลวงเด็กโดยใช้ AI วิเคราะห์ข้อความ หากพบสิ่งต้องสงสัย ระบบจะรายงานอัตโนมัติไปยังศูนย์กลางของ EU โดยไม่มีการตรวจสอบจากมนุษย์ก่อน ซึ่งอาจนำไปสู่การแจ้งความผิดพลาดจำนวนมหาศาล แม้จะมีข้ออ้างเรื่องการปกป้องเด็ก แต่ผู้เชี่ยวชาญด้านความปลอดภัยกว่า 600 คนจาก 35 ประเทศได้ลงนามในจดหมายเปิดผนึกคัดค้านกฎหมายนี้ โดยชี้ว่าการสแกนฝั่งผู้ใช้เป็นการทำลายหลักการของการเข้ารหัส และเปิดช่องให้เกิดการละเมิดสิทธิอย่างร้ายแรง ที่น่ากังวลยิ่งกว่าคือ กฎหมายนี้ยังมีข้อยกเว้นให้กับบัญชีของรัฐบาลในกรณี “ความมั่นคงแห่งชาติ” ซึ่งหมายความว่าประชาชนจะถูกสอดแนม แต่รัฐบาลจะไม่ถูกตรวจสอบ ✅ ข้อมูลสำคัญจากข่าว ➡️ ChatControl คือกฎหมายใหม่ของ EU ที่จะบังคับให้ทุกแพลตฟอร์มสื่อสารต้องสแกนข้อความและภาพของผู้ใช้ ➡️ ใช้ระบบ Client-Side Scanning ที่ตรวจสอบเนื้อหาก่อนเข้ารหัส ➡️ ครอบคลุมทุกบริการที่มีการสื่อสาร ไม่ใช่แค่แอปแชต แต่รวมถึงอีเมล, เกม, โซเชียล, ฝากไฟล์ ฯลฯ ➡️ ตรวจจับเนื้อหา 3 ประเภท: เนื้อหาผิดกฎหมาย, เนื้อหาที่อาจผิดกฎหมาย, และพฤติกรรมล่อลวงเด็ก ➡️ หากพบสิ่งต้องสงสัย ระบบจะรายงานอัตโนมัติไปยังศูนย์กลางของ EU ➡️ ไม่มีการตรวจสอบจากมนุษย์ก่อนส่งรายงาน ➡️ กฎหมายนี้จะมีผลบังคับใช้กับทุกประเทศสมาชิก EU โดยไม่มีข้อยกเว้น ➡️ มีข้อยกเว้นให้กับบัญชีรัฐบาลในกรณีความมั่นคง ➡️ ผู้เชี่ยวชาญกว่า 600 คนร่วมลงนามคัดค้าน โดยชี้ว่าเป็นการทำลายความปลอดภัยของระบบเข้ารหัส ✅ ข้อมูลเสริมจากภายนอก ➡️ การสแกนฝั่งผู้ใช้ (Client-Side Scanning) เป็นเทคนิคที่บริษัทอย่าง Apple เคยเสนอ แต่ถูกวิจารณ์จนต้องยกเลิก ➡️ การสแกนก่อนเข้ารหัสถือเป็นการ “เลี่ยง” การเข้ารหัส ไม่ใช่การ “ทำลาย” โดยตรง แต่ผลลัพธ์เหมือนกัน ➡️ การใช้ AI วิเคราะห์ภาพและข้อความมีอัตราความผิดพลาดสูง โดยเฉพาะกับเนื้อหาทางการแพทย์หรือครอบครัว ➡️ การสอดแนมแบบนี้อาจทำให้ผู้คนเปลี่ยนพฤติกรรมการสื่อสาร (chilling effect) และลดเสรีภาพในการแสดงออก ➡️ บริษัทที่พัฒนาเทคโนโลยีสแกน เช่น Thorn และ Microsoft PhotoDNA มีผลประโยชน์โดยตรงจากกฎหมายนี้ https://metalhearf.fr/posts/chatcontrol-wants-your-private-messages/

🌐 “Cloudflare ป้องกัน DDoS ขนาด 22.2 Tbps ได้สำเร็จ — โลกไซเบอร์เข้าสู่ยุค ‘โจมตีระดับมหึมา’ ที่ต้องพึ่ง AI ป้องกันแบบเรียลไทม์” ในเดือนกันยายน 2025 Cloudflare ได้ประกาศว่าได้ป้องกันการโจมตีแบบ DDoS (Distributed Denial-of-Service) ที่ใหญ่ที่สุดเท่าที่เคยมีมา โดยการโจมตีครั้งนี้มีขนาดถึง 22.2 Tbps และ 10.6 พันล้านแพ็กเก็ตต่อวินาที ซึ่งมากกว่าการโจมตีครั้งก่อนหน้าถึงสองเท่า และกินเวลาทั้งหมดเพียง 40 วินาทีเท่านั้น แม้จะเป็นช่วงเวลาสั้น ๆ แต่ปริมาณข้อมูลที่ถูกส่งมานั้นเทียบเท่ากับการสตรีมวิดีโอ 4K จำนวนหนึ่งล้านรายการพร้อมกัน หรือการรีเฟรชหน้าเว็บจากทุกคนบนโลกพร้อมกัน 1.3 ครั้งต่อวินาที ซึ่งแสดงให้เห็นถึงความรุนแรงและความเร็วของการโจมตีในยุคใหม่ Cloudflare ระบุว่าการป้องกันครั้งนี้ดำเนินการโดยระบบอัตโนมัติทั้งหมด โดยไม่ต้องอาศัยการตอบสนองจากมนุษย์เลย ซึ่งสะท้อนถึงความสำคัญของการใช้ AI และระบบ machine learning ในการป้องกันภัยไซเบอร์ที่เกิดขึ้นในระดับ “machine speed” การโจมตีครั้งนี้ถูกระบุว่าเป็นการโจมตีแบบ “UDP carpet bomb” ที่มุ่งเป้าไปยัง IP เดียว โดยใช้พอร์ตเฉลี่ย 31,000 พอร์ตต่อวินาที และสูงสุดถึง 47,000 พอร์ต โดยมีแหล่งที่มาจากกว่า 404,000 IP ทั่วโลก ซึ่งไม่ใช่การปลอมแปลง IP แต่เป็นการใช้ botnet จริงที่ชื่อว่า AISURU AISURU เป็น botnet ที่ประกอบด้วยอุปกรณ์ IoT ที่ถูกแฮก เช่น เราเตอร์, กล้อง IP, DVR และ NVR โดยมีการแพร่กระจายผ่านช่องโหว่ในเฟิร์มแวร์ของผู้ผลิตหลายราย เช่น Totolink, D-Link, Zyxel และ Realtek ✅ ข้อมูลสำคัญจากข่าว ➡️ Cloudflare ป้องกันการโจมตี DDoS ขนาด 22.2 Tbps และ 10.6 พันล้านแพ็กเก็ตต่อวินาที ➡️ การโจมตีใช้เวลาเพียง 40 วินาที แต่มีปริมาณข้อมูลมหาศาล ➡️ ระบบของ Cloudflare ตรวจจับและป้องกันโดยอัตโนมัติ ไม่ต้องใช้มนุษย์ ➡️ เป็นการโจมตีแบบ UDP carpet bomb targeting IP เดียว ➡️ ใช้พอร์ตเฉลี่ย 31,000 พอร์ตต่อวินาที สูงสุด 47,000 พอร์ต ➡️ แหล่งที่มาจากกว่า 404,000 IP ที่ไม่ถูกปลอมแปลง ➡️ Botnet ที่ใช้คือ AISURU ซึ่งประกอบด้วยอุปกรณ์ IoT ที่ถูกแฮก ➡️ AISURU แพร่ผ่านช่องโหว่ในเฟิร์มแวร์ของ Totolink, Realtek, D-Link, Zyxel และอื่น ๆ ➡️ Cloudflare เคยป้องกันการโจมตีขนาด 11.5 Tbps และ 7.3 Tbps ก่อนหน้านี้ในปีเดียวกัน ✅ ข้อมูลเสริมจากภายนอก ➡️ DDoS แบบ “hit-and-run” คือการโจมตีระยะสั้นแต่รุนแรง เพื่อหลบหลีกการตอบสนอง ➡️ ระบบ legacy scrubbing center ไม่สามารถรับมือกับการโจมตีระดับนี้ได้ทัน ➡️ การใช้ AI และ machine learning เป็นแนวทางใหม่ในการป้องกันภัยไซเบอร์ ➡️ Botnet ที่ใช้ IoT เป็นฐานมีแนวโน้มเพิ่มขึ้น เพราะอุปกรณ์เหล่านี้มักมีระบบความปลอดภัยต่ำ ➡️ AISURU เคยถูกใช้โจมตีแพลตฟอร์มเกม Black Myth: Wukong และขายบริการผ่าน Telegram https://hackread.com/cloudflare-blocks-22-2-tbps-ddos-attack/

🎮 “เกม BlockBlasters บน Steam กลายเป็นกับดักมัลแวร์ — สตรีมเมอร์สูญเงินบริจาครักษามะเร็งกว่า $32,000 พร้อมเหยื่อรวมกว่า 478 ราย” เรื่องราวสุดสะเทือนใจของ Raivo “RastalandTV” สตรีมเมอร์บน Twitch ที่กำลังระดมทุนเพื่อรักษามะเร็งขั้นรุนแรง กลับต้องเผชิญเหตุการณ์ไม่คาดคิด เมื่อเกมที่มีชื่อว่า “BlockBlasters” บน Steam ซึ่งดูเหมือนเกม 2D ธรรมดา กลับกลายเป็นมัลแวร์ที่ขโมยเงินคริปโตจากกระเป๋าเงินของเขาไปกว่า $32,000 ระหว่างการไลฟ์สดในวันที่ 30 กันยายน 2025 เกม BlockBlasters เปิดตัวในเดือนกรกฎาคมและดูปลอดภัยในช่วงแรก แต่หลังจากอัปเดตเมื่อวันที่ 30 สิงหาคม มัลแวร์ถูกฝังเข้ามาในตัวเกมโดยไม่แจ้งเตือน ทำให้ผู้เล่นที่ดาวน์โหลดเกมในช่วงนั้นตกเป็นเหยื่อโดยไม่รู้ตัว มัลแวร์ในเกมสามารถขโมยข้อมูลล็อกอิน Steam, ที่อยู่ IP และข้อมูลกระเป๋าคริปโต จากนั้นส่งไปยังเซิร์ฟเวอร์ควบคุมของผู้โจมตี โดยใช้เทคนิค dropper script, Python backdoor และ payload ที่ชื่อว่า StealC ซึ่งมีความสามารถในการเจาะระบบอย่างลึก นักวิจัยด้านความปลอดภัยจากกลุ่ม vx-underground และ ZachXBT ระบุว่ามีผู้เสียหายรวมกว่า 478 ราย และมูลค่าความเสียหายรวมกว่า $150,000 โดยเหยื่อส่วนใหญ่เป็นผู้ใช้ Steam ที่มีคริปโตในบัญชี และถูกชักชวนให้ลองเกมผ่านช่องทางเช่น Twitter หรือ Discord แม้เกมจะถูกถอดออกจาก Steam แล้ว แต่เหตุการณ์นี้สะท้อนถึงช่องโหว่ในการตรวจสอบเนื้อหาเกมบนแพลตฟอร์มที่ผู้ใช้ไว้วางใจอย่างสูง และยังไม่มีคำตอบจาก Valve ถึงมาตรการป้องกันในอนาคต ✅ ข้อมูลสำคัญจากข่าว ➡️ เกม BlockBlasters บน Steam ถูกฝังมัลแวร์หลังอัปเดตเมื่อ 30 สิงหาคม 2025 ➡️ สตรีมเมอร์ RastalandTV สูญเงินบริจาครักษามะเร็งกว่า $32,000 ระหว่างไลฟ์สด ➡️ มัลแวร์ขโมยข้อมูล Steam, IP และกระเป๋าคริปโต แล้วส่งไปยังเซิร์ฟเวอร์ของผู้โจมตี ➡️ นักวิจัยพบเหยื่อรวมกว่า 478 ราย และมูลค่าความเสียหายรวมกว่า $150,000 ➡️ เกมถูกถอดออกจาก Steam หลังเกิดเหตุการณ์ แต่ไม่มีคำชี้แจงจาก Valve ✅ เทคนิคที่ใช้ในการโจมตี ➡️ ใช้ dropper script ตรวจสอบสภาพแวดล้อมก่อนขโมยข้อมูล ➡️ ใช้ Python backdoor และ payload StealC เพื่อเจาะระบบ ➡️ เหยื่อถูกชักชวนผ่าน Twitter และ Discord โดยเน้นกลุ่มที่ถือคริปโต ➡️ Telegram bot ของผู้โจมตีถูกเปิดเผย พร้อม token ที่ใช้ควบคุม ✅ ข้อมูลเสริมจากภายนอก ➡️ เกมที่มีรีวิว “Very Positive” และอยู่ในหมวด Early Access อาจถูกใช้เป็นช่องทางโจมตี ➡️ การโจมตีแบบนี้คล้ายกับกรณี Chemia, PirateFi และ Sniper: Phantom’s Resolution ที่เคยเกิดขึ้นบน Steam ➡️ การใช้มัลแวร์ในเกมเพื่อขโมยคริปโตเพิ่มขึ้นอย่างต่อเนื่องในปี 2025 ➡️ ผู้ใช้ควรเปลี่ยนรหัส Steam และย้ายคริปโตไปยังกระเป๋าใหม่ทันทีหากเคยติดตั้งเกม https://www.tomshardware.com/tech-industry/cyber-security/twitch-streamer-raising-money-for-cancer-treatment-has-funds-stolen-by-malware-ridden-steam-game-blockblasters-title-stole-usd150-000-from-hundreds-of-players

📰 Raven Stealer: มัลแวร์สายลับยุคใหม่ที่ขโมยข้อมูลจากเบราว์เซอร์แล้วส่งผ่าน Telegram — ภัยเงียบที่ซ่อนตัวในความเบา ภัยคุกคามไซเบอร์ล่าสุดที่ถูกเปิดโปงโดยทีม Lat61 Threat Intelligence จาก Point Wild คือมัลแวร์ชื่อ “Raven Stealer” ซึ่งแม้จะดูเล็กและเรียบง่าย แต่กลับมีความสามารถในการขโมยข้อมูลส่วนตัวจากเบราว์เซอร์ยอดนิยมอย่าง Chrome และ Edge ได้อย่างมีประสิทธิภาพ โดยใช้เทคนิคล้ำสมัย เช่น process hollowing และการส่งข้อมูลผ่าน Telegram bot แบบเรียลไทม์ Raven Stealer ถูกเขียนด้วยภาษา Delphi และ C++ และถูกแจกจ่ายผ่านฟอรั่มใต้ดินหรือมากับซอฟต์แวร์เถื่อน โดยเมื่อถูกติดตั้ง มัลแวร์จะทำงานแบบไร้ร่องรอยในหน่วยความจำ ไม่ทิ้งไฟล์ไว้บนฮาร์ดดิสก์ ทำให้แอนตี้ไวรัสทั่วไปตรวจจับได้ยากมาก สิ่งที่ Raven ขโมยมีตั้งแต่รหัสผ่าน คุกกี้ ข้อมูลบัตรเครดิต ไปจนถึง session cookies ที่สามารถใช้ข้ามระบบ MFA ได้ นอกจากนี้ยังสามารถขโมยข้อมูลจากแอปอื่น ๆ และกระเป๋าเงินคริปโตได้ด้วย โดยข้อมูลทั้งหมดจะถูกจัดเก็บใน ZIP แล้วส่งผ่าน Telegram API ไปยังผู้โจมตี ซึ่งมักใช้ Telegram เป็นช่องทางควบคุมและรับข้อมูลแบบ C2 (Command and Control) แม้การทดสอบบางครั้งจะล้มเหลวในการส่งข้อมูลเพราะ token ผิดพลาด แต่โครงสร้างของมัลแวร์นี้แสดงให้เห็นถึงแนวโน้มใหม่ของ “commodity malware” ที่แม้ผู้โจมตีจะไม่มีทักษะสูง ก็สามารถใช้เครื่องมือเหล่านี้ได้อย่างง่ายดาย ✅ Raven Stealer เป็นมัลแวร์ขโมยข้อมูลที่ถูกพัฒนาอย่างลับ ➡️ เขียนด้วย Delphi และ C++ ➡️ ถูกแจกจ่ายผ่านฟอรั่มใต้ดินและซอฟต์แวร์เถื่อน ✅ ใช้เทคนิค process hollowing เพื่อหลบเลี่ยงการตรวจจับ ➡️ ทำงานในหน่วยความจำโดยไม่ทิ้งไฟล์บนดิสก์ ➡️ ปลอมตัวเป็นโปรเซสของเบราว์เซอร์ เช่น chrome.exe ✅ ขโมยข้อมูลจากเบราว์เซอร์และแอปอื่น ๆ ➡️ รหัสผ่าน คุกกี้ ข้อมูลบัตรเครดิต และ session cookies ➡️ ข้อมูลจากกระเป๋าเงินคริปโตและแอปอื่น ๆ ก็ถูกเก็บ ✅ ส่งข้อมูลผ่าน Telegram bot แบบเรียลไทม์ ➡️ ใช้ API /sendDocument เพื่อส่ง ZIP file ➡️ Telegram ถูกใช้เป็นช่องทางควบคุมและรับข้อมูล ✅ มีโครงสร้างที่เอื้อต่อผู้โจมตีที่ไม่มีทักษะสูง ➡️ ใช้ builder สร้าง payload ได้ง่าย ➡️ มี UI ที่เรียบง่ายและรองรับโมดูลแบบ dynamic ‼️ คำเตือนเกี่ยวกับความเสี่ยงจาก Raven Stealer ⛔ การทำงานแบบ in-memory ทำให้แอนตี้ไวรัสทั่วไปตรวจจับได้ยาก ⛔ session cookies ที่ถูกขโมยสามารถใช้ข้าม MFA ได้ ⛔ การใช้ Telegram เป็นช่องทางส่งข้อมูลอาจหลบเลี่ยง firewall ขององค์กร ⛔ ผู้ใช้ที่ดาวน์โหลดซอฟต์แวร์เถื่อนมีความเสี่ยงสูงต่อการติดมัลแวร์นี้ https://hackread.com/raven-stealer-malware-browsers-passwords-payment-data/

📰 Microsoft และ Cloudflare ร่วมมือถล่มเครือข่ายฟิชชิ่ง RaccoonO365 — ยุติการขโมยบัญชี Microsoft 365 กว่า 5,000 รายทั่วโลก ในปฏิบัติการระดับโลกที่เริ่มต้นเมื่อเดือนกันยายน 2025 Microsoft และ Cloudflare ได้ร่วมกันรื้อถอนเครือข่ายฟิชชิ่งชื่อ RaccoonO365 ซึ่งเป็นบริการ “Phishing-as-a-Service” ที่เปิดให้แฮกเกอร์เช่าชุดเครื่องมือเพื่อขโมยบัญชี Microsoft 365 ได้อย่างง่ายดาย โดยไม่ต้องมีทักษะด้านเทคนิคใด ๆ RaccoonO365 ถูกติดตามโดย Microsoft ภายใต้ชื่อ Storm-2246 และมีรูปแบบการให้บริการแบบสมัครสมาชิก โดยคิดค่าบริการ $355 ต่อ 30 วัน หรือ $999 ต่อ 90 วัน ซึ่งผู้ใช้สามารถป้อนอีเมลเป้าหมายได้ถึง 9,000 รายต่อวัน และใช้เทคนิคหลอกลวงที่ซับซ้อน เช่น CAPTCHA ปลอม, หน้าเข้าสู่ระบบ Microsoft ปลอม, และการข้ามระบบยืนยันตัวตนแบบหลายขั้นตอน (MFA) Microsoft ได้ยื่นฟ้องต่อศาล Southern District of New York และได้รับคำสั่งให้ยึดเว็บไซต์ที่เกี่ยวข้องถึง 338 แห่ง พร้อมระบุผู้อยู่เบื้องหลังคือ Joshua Ogundipe จากไนจีเรีย ซึ่งเป็นผู้พัฒนาและบริหารระบบนี้ผ่าน Telegram ที่มีสมาชิกกว่า 850 คน Cloudflare เข้าร่วมปฏิบัติการโดยปิดบัญชีผู้ใช้ที่เกี่ยวข้อง, ลบสคริปต์ Workers ที่ใช้ป้องกันบอท และแสดงหน้าเตือนก่อนเข้าถึงโดเมนที่เป็นอันตราย การดำเนินการนี้ถือเป็นการเปลี่ยนแนวทางจากการลบโดเมนทีละตัว ไปสู่การรื้อถอนโครงสร้างเครือข่ายแบบครบวงจร ✅ Microsoft และ Cloudflare ร่วมกันรื้อถอนเครือข่ายฟิชชิ่ง RaccoonO365 ➡️ ปฏิบัติการเริ่มต้นวันที่ 2 กันยายน 2025 และเสร็จสิ้นภายในวันที่ 8 กันยายน ➡️ ยึดเว็บไซต์ที่เกี่ยวข้องได้ถึง 338 แห่ง ✅ RaccoonO365 เป็นบริการ Phishing-as-a-Service ➡️ ให้แฮกเกอร์เช่าชุดเครื่องมือผ่าน Telegram ➡️ ค่าบริการ $355 ต่อ 30 วัน หรือ $999 ต่อ 90 วัน ➡️ รองรับเป้าหมายได้ถึง 9,000 อีเมลต่อวัน ✅ เทคนิคที่ใช้ในการหลอกลวงมีความซับซ้อน ➡️ ใช้ CAPTCHA ปลอมและหน้าเข้าสู่ระบบ Microsoft ปลอม ➡️ ข้ามระบบ MFA และขโมย session cookies ➡️ ใช้แบรนด์ดังเช่น DocuSign, Adobe, Maersk เพื่อเพิ่มความน่าเชื่อถือ ✅ ผู้พัฒนาและผู้อยู่เบื้องหลังคือ Joshua Ogundipe ➡️ มีพื้นฐานด้านโปรแกรมมิ่งและเขียนโค้ดส่วนใหญ่ด้วยตัวเอง ➡️ ดำเนินการจากไนจีเรียและยังไม่ถูกจับกุม ✅ Cloudflare ปิดระบบสนับสนุนของเครือข่ายนี้ ➡️ ลบสคริปต์ Workers และแสดงหน้าเตือนก่อนเข้าถึงโดเมน ➡️ ปิดบัญชีผู้ใช้ที่เกี่ยวข้องกับการโจมตี https://www.techradar.com/pro/security/microsoft-and-cloudflare-jointly-take-down-phishing-network-that-stole-thousands-of-microsoft-365-credentials

🕸️ “Scattered Spider ประกาศ ‘เกษียณ’ หรือแค่เปลี่ยนชื่อ? — เมื่อจอมโจรไซเบอร์เลือกหายตัวในวันที่โลกยังไม่ปลอดภัย” กลางเดือนกันยายน 2025 กลุ่มแฮกเกอร์ชื่อฉาว Scattered Spider พร้อมพันธมิตรอีกกว่า 14 กลุ่ม ได้โพสต์จดหมายลาออกจากวงการไซเบอร์บน BreachForums และ Telegram โดยประกาศว่า “จะหายตัวไป” หลังจากมีการจับกุมสมาชิกบางส่วนในยุโรปและสหรัฐฯ แต่ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์กลับมองว่า นี่อาจเป็นเพียง “กลยุทธ์ลวงตา” เพื่อเบี่ยงเบนความสนใจและเตรียมรีแบรนด์ใหม่ จดหมายดังกล่าวถูกเขียนอย่างประณีต มีการกล่าวขอโทษต่อเหยื่อและครอบครัวของผู้ถูกจับกุม พร้อมอ้างว่าใช้เวลา 72 ชั่วโมงก่อนโพสต์เพื่อ “พูดคุยกับครอบครัวและยืนยันแผนสำรอง” แต่เนื้อหากลับเต็มไปด้วยความย้อนแย้ง เช่น การอวดว่าเคยโจมตี Jaguar Land Rover, Google, Salesforce และ CrowdStrike พร้อมระบุว่า “ขณะคุณกำลังถูกเบี่ยงเบน เรากำลังเปิดใช้งานแผนสำรอง” ผู้เชี่ยวชาญเช่น Brijesh Singh และ Sunil Varkey ต่างตั้งข้อสงสัยว่า การรวมกลุ่มของแฮกเกอร์กว่า 15 กลุ่มในเวลาเพียงหนึ่งเดือนก่อนประกาศเกษียณนั้น “ไม่สมเหตุสมผล” และไม่มีหลักฐานว่ากลุ่มเหล่านี้เคยร่วมมือกันจริงในอดีต แม้จะมีการจับกุมสมาชิก 8 คนในยุโรปตั้งแต่ปี 2024 แต่ส่วนใหญ่เป็นระดับล่าง เช่น ผู้ฟอกเงินหรือแอดมินแชต ขณะที่หัวหน้าทีมและนักพัฒนายังลอยนวลอยู่ การประกาศลาออกจึงอาจเป็นเพียงการ “ลบแบรนด์” เพื่อหลบเลี่ยงแรงกดดันจากหน่วยงานรัฐ และเปิดทางให้กลุ่มใหม่ที่ใช้เทคนิคเดิมกลับมาโจมตีอีกครั้ง สิ่งที่น่ากังวลคือ แม้ Scattered Spider จะหายไป แต่เทคนิคที่พวกเขาใช้ เช่น การโจมตีด้วย OAuth token, deepfake voice phishing และ ransomware บน hypervisor ยังคงแพร่กระจาย และถูกนำไปใช้โดยกลุ่มใหม่ที่เงียบกว่าแต่ร้ายกว่า ✅ ข้อมูลจากข่าวการประกาศลาออก ➡️ Scattered Spider และพันธมิตร 14 กลุ่มโพสต์จดหมายลาออกบน BreachForums และ Telegram ➡️ อ้างว่า “จะหายตัวไป” หลังจากมีการจับกุมสมาชิกบางส่วนในยุโรป ➡️ กล่าวขอโทษต่อเหยื่อและครอบครัวของผู้ถูกจับกุม พร้อมอ้างว่าใช้เวลา 72 ชั่วโมงเพื่อเตรียมแผนสำรอง ➡️ ระบุว่าเคยโจมตี Jaguar Land Rover, Google, Salesforce และ CrowdStrike ✅ ข้อสังเกตจากผู้เชี่ยวชาญ ➡️ กลุ่มแฮกเกอร์เหล่านี้เพิ่งรวมตัวกันในเดือนสิงหาคม 2025 — การลาออกในเดือนกันยายนจึงน่าสงสัย ➡️ ไม่มีหลักฐานว่ากลุ่มเหล่านี้เคยร่วมมือกันจริง ➡️ การจับกุมส่วนใหญ่เป็นระดับล่าง — หัวหน้าทีมยังไม่ถูกจับ ➡️ การประกาศลาออกอาจเป็นกลยุทธ์ “ลบแบรนด์” เพื่อหลบเลี่ยงการติดตาม ✅ ข้อมูลเสริมจากภายนอก ➡️ เทคนิคที่ Scattered Spider ใช้ เช่น OAuth abuse และ deepfake vishing กำลังแพร่หลาย ➡️ Hypervisor ransomware ที่เคยเป็นของกลุ่มนี้ถูกปล่อยสู่สาธารณะ ➡️ กลุ่มใหม่เริ่มใช้เทคนิคเดิมและดึงสมาชิกเก่ากลับมา ➡️ การประกาศลาออกคล้ายกับกรณีของกลุ่มแฮกเกอร์อื่นในอดีต เช่น REvil และ DarkSide https://www.csoonline.com/article/4057074/scattered-spiders-retirement-announcement-genuine-exit-or-elaborate-smokescreen.html

VIDEO025 ซีรีย์จีนพากย์ไทยเรื่อง : คุณหนูตัวแทนรัก ฝดูซีรีย์จีนพากย์ไทยผ่าน แอป telegram : ซีรีย์จีนอัพเดตทุกวัน 1000 กว่าเรื่อง Google Play ลิ้งค์ดาสน์โหลด : https://play.google.com/store/apps/details?id=org.telegram.messenger&pcampaignid=web_share สำหรบสมาชิกทีมีแอป Telegra อยู่แล้วคลิ๊กทีลิ้งคี้ : :/https/t.me/pkextremechinaseries ฝากกดกดติดตามและกดแชร์เพจ Facebook ของเราด้วยนะครับ https://www.facebook.com/profile.php?id=100063955424118 https://www.facebook.com/profile.php?id=61580101866932 https://www.facebook.com/hmextremechinaseries https://www.facebook.com/hieamaochinaseriesv2 https://www.facebook.com/pkextreme2025 https://www.facebook.com/thepsurachinaseriesv1 ฝากสนับสนุนแอดมินด้วยนะครับตามความสมัครใจ https://promptpay.io/0638814705 หรือสแกน QR CODE ท้ายคลิป ขอบคุณครับ กดลิ้งค์ด้านล่างเพื่อดูซีรีย์ https://www.dropbox.com/scl/fi/wtm9rctbz6lksm47dbeum/025.-31-08-2025.mp4?rlkey=1p6ksmgv5v0x79ek5fdtkaqak&st=nyuqi6ex&dl=0 https://www.bilibili.tv/th/space/1130517569 #ร้านเฮียเมาเจ้พรตลาดปัฐวิกรณ์โครงการใหม่ #โกดังเฮียเมาตลาดปัฐวิกรณ์โครงการใหม่ #เฮียเมาซีรีย์จีน #เฮียเมาซีรีย์จีนV2 #PKExtremeรวมซีรีย์ #เทพสุราซีรีย์จีนV1 #ดูจนตาเหลือกรวมซีรีย์

📱 เรื่องเล่าจากโลกไซเบอร์: เมื่อมือถือ Android กลายเป็นเหยื่อเรียกค่าไถ่ ลองจินตนาการว่าคุณกำลังใช้มือถือ Android อยู่ดี ๆ แล้วจู่ ๆ หน้าจอก็ขึ้นข้อความ “WARNING” เต็มจอ พร้อมบอกให้คุณจ่ายเงินค่าไถ่ผ่านกระเป๋าคริปโตเพื่อปลดล็อกเครื่อง…นี่ไม่ใช่ฉากจากหนังไซไฟ แต่มันคือภัยคุกคามจริงจากมัลแวร์ตัวใหม่ชื่อว่า “Hook Version 3” มัลแวร์ Hook เคยเป็นแค่ banking trojan ที่ขโมยข้อมูลบัญชีธนาคาร แต่ตอนนี้มันกลายร่างเป็น “มัลแวร์ลูกผสม” ที่รวมความสามารถของ ransomware, spyware และการควบคุมเครื่องจากระยะไกลไว้ในตัวเดียว Hook v3 รองรับคำสั่งจากแฮกเกอร์ถึง 107 แบบ โดยมีคำสั่งใหม่เพิ่มถึง 38 คำสั่ง เช่น การแสดงหน้าจอปลอมเพื่อหลอกให้ผู้ใช้กรอกรหัส PIN, การปลอมหน้าจอ Google Pay เพื่อขโมยข้อมูลบัตรเครดิต หรือแม้แต่การสตรีมหน้าจอมือถือแบบเรียลไทม์ให้แฮกเกอร์ดู ที่น่ากลัวคือ Hook ใช้เทคนิคหลอกให้ผู้ใช้เปิด “Accessibility Services” ซึ่งเป็นฟีเจอร์ช่วยเหลือผู้พิการใน Android เพื่อให้มันสามารถควบคุมเครื่องได้โดยอัตโนมัติ มัลแวร์นี้ยังถูกเผยแพร่ผ่าน GitHub และเว็บไซต์ฟิชชิ่ง ทำให้การกระจายตัวรวดเร็วและกว้างขวางมากขึ้น โดยมีมัลแวร์ตระกูลอื่นอย่าง Ermac และ Brokewell ใช้ช่องทางเดียวกัน Hook ยังมีฟีเจอร์ที่กำลังพัฒนา เช่น การใช้ RabbitMQ และ Telegram เพื่อสื่อสารกับเซิร์ฟเวอร์ควบคุม ซึ่งแสดงให้เห็นว่าแฮกเกอร์ยังไม่หยุดพัฒนาเลย 🔍 สรุปเนื้อหาเป็นหัวข้อ ➡️ Hook Version 3 เป็นมัลแวร์ Android ที่รวม ransomware, spyware และ banking trojan ในตัวเดียว ➡️ รองรับคำสั่งจากแฮกเกอร์ถึง 107 แบบ โดยมีคำสั่งใหม่เพิ่ม 38 คำสั่ง ➡️ ใช้หน้าจอปลอม เช่น Google Pay, NFC, PIN unlock เพื่อหลอกขโมยข้อมูล ➡️ สามารถสตรีมหน้าจอมือถือแบบเรียลไทม์ให้แฮกเกอร์ดู ➡️ ใช้ Accessibility Services เพื่อควบคุมเครื่องโดยอัตโนมัติ ➡️ แสดงหน้าจอเรียกค่าไถ่แบบเต็มจอ พร้อมกระเป๋าคริปโตและจำนวนเงินที่รับจากเซิร์ฟเวอร์ ➡️ ถูกเผยแพร่ผ่าน GitHub และเว็บไซต์ฟิชชิ่ง ➡️ มีการพัฒนาให้ใช้ RabbitMQ และ Telegram ในอนาคต ➡️ เป็นภัยคุกคามต่อทั้งผู้ใช้ทั่วไปและองค์กรธุรกิจ ✅ ข้อมูลเสริมจากภายนอก ➡️ Hook เป็นสายพันธุ์ที่พัฒนาต่อจาก ERMAC ซึ่งเคยมีซอร์สโค้ดหลุดออกมา ➡️ ฟีเจอร์สตรีมหน้าจอแบบเรียลไทม์ยังถือว่าเป็นสิ่งที่พบได้น้อยในมัลแวร์ Android ➡️ การใช้ GitHub เป็นช่องทางเผยแพร่มัลแวร์กำลังเป็นเทรนด์ในกลุ่มแฮกเกอร์ ➡️ การใช้ overlay แบบโปร่งใสเพื่อจับ gesture ของผู้ใช้เป็นเทคนิคใหม่ที่ซับซ้อน ➡️ การใช้ HTML ฝังใน APK เพื่อแสดง ransomware overlay เป็นการผสานเทคนิคเว็บกับแอป https://hackread.com/android-hook-malware-variant-locks-devices-ransomware/

🕵️‍♂️ น้ำที่ไม่ปลอดภัย – เมื่อไซเบอร์สงครามเริ่มจากก๊อกน้ำ ในเดือนสิงหาคม 2025 เกิดเหตุการณ์สองครั้งที่สะท้อนถึงภัยคุกคามไซเบอร์ต่อโครงสร้างพื้นฐานด้านน้ำในยุโรป ซึ่งเชื่อมโยงกับกลุ่มแฮกเกอร์ที่สนับสนุนรัสเซีย เหตุการณ์แรกเกิดขึ้นที่เขื่อน Bremanger ในนอร์เวย์ เมื่อมีผู้เจาะระบบควบคุมและเปิดวาล์วปล่อยน้ำเป็นเวลาราว 4 ชั่วโมง แม้จะไม่มีความเสียหาย แต่แสดงให้เห็นว่าผู้โจมตีสามารถควบคุมระบบจริงได้ โดยมีวิดีโอเผยแพร่บน Telegram ซึ่งเชื่อมโยงกับกลุ่ม Z-Pentest Alliance ที่มีแนวโน้มสนับสนุนรัสเซีย เหตุการณ์ที่สองเกิดขึ้นในโปแลนด์ เมื่อรองนายกรัฐมนตรี Krzysztof Gawkowski เปิดเผยว่ามีความพยายามโจมตีระบบน้ำของเมืองใหญ่แห่งหนึ่ง แต่ถูกสกัดไว้ได้ทันเวลา เขาเปรียบเทียบว่า “รัสเซียอาจไม่ส่งรถถัง แต่ส่งมัลแวร์แทน” ผู้เชี่ยวชาญเตือนว่า การโจมตีลักษณะนี้เป็น “การหยั่งเชิง” ที่อาจนำไปสู่การโจมตีขนาดใหญ่ในอนาคต โดยเฉพาะระบบน้ำที่มักขาดงบประมาณและบุคลากรด้านไซเบอร์ แม้ผู้โจมตีจะดูเหมือนมือสมัครเล่น แต่การควบคุมระบบจริงได้เป็นเรื่องที่อันตรายมาก และการใช้ช่องโหว่ เช่น รหัสผ่านอ่อนแอ หรือ HMI ที่เปิดให้เข้าถึงผ่านอินเทอร์เน็ต เป็นจุดอ่อนที่พบได้ทั่วไป 📌 สรุปเนื้อหาเป็นหัวข้อ ➡️ เกิดเหตุโจมตีไซเบอร์ที่เขื่อน Bremanger ในนอร์เวย์ โดยเปิดวาล์วปล่อยน้ำ 4 ชั่วโมง ➡️ โปแลนด์สกัดการโจมตีระบบน้ำของเมืองใหญ่ได้ทันเวลา ➡️ กลุ่ม Z-Pentest Alliance ถูกเชื่อมโยงกับการโจมตีในนอร์เวย์ ➡️ วิดีโอการโจมตีถูกเผยแพร่บน Telegram พร้อมเพลงรัสเซีย ➡️ ผู้โจมตีใช้ HMI ที่เปิดผ่านอินเทอร์เน็ตและรหัสผ่านอ่อนแอ ➡️ ไม่มีความเสียหายทางกายภาพ แต่มีการควบคุมระบบจริง ➡️ ผู้เชี่ยวชาญเตือนว่าเป็นการ “หยั่งเชิง” ก่อนการโจมตีใหญ่ ➡️ ระบบน้ำเป็นโครงสร้างพื้นฐานที่สำคัญแต่ขาดการป้องกัน ➡️ สหรัฐฯ และยุโรปควรใช้เหตุการณ์นี้เป็นสัญญาณเตือน ➡️ โครงการ Cyber Peace Initiative และ DEF CON Franklin เสนอความช่วยเหลือฟรีแก่ระบบน้ำ ✅ ข้อมูลเสริมจากภายนอก ➡️ โปแลนด์เผชิญการโจมตีไซเบอร์จากรัสเซียวันละ 300 ครั้ง ➡️ ในปี 2024 รัสเซียเคยโจมตีระบบน้ำในเท็กซัสจนถังน้ำล้น ➡️ ระบบน้ำในสหรัฐฯ ส่วนใหญ่ไม่ได้รับการตรวจสอบไซเบอร์เต็มรูปแบบ ➡️ การโจมตีระบบ OT (Operational Technology) มักใช้กลุ่มแฮกเกอร์มือสมัครเล่นเป็นตัวแทน ➡️ การโจมตีระบบน้ำสามารถสร้างความหวาดกลัวและบั่นทอนความเชื่อมั่นของประชาชน ➡️ การควบคุมวาล์วแบบเรียลไทม์แสดงถึงความเสี่ยงเชิงปฏิบัติการที่ร้ายแรง https://www.csoonline.com/article/4042449/russia-linked-european-attacks-renew-concerns-over-water-cybersecurity.html

📖 แอนตี้ไวรัสปลอมที่กลายเป็นสายลับ – เมื่อมือถือกลายเป็นเครื่องมือสอดแนม ตั้งแต่ต้นปี 2025 นักวิจัยจาก Doctor Web พบมัลแวร์ Android.Backdoor.916.origin ที่ปลอมตัวเป็นแอปแอนตี้ไวรัสชื่อ GuardCB เพื่อหลอกผู้ใช้ Android ในรัสเซีย โดยเฉพาะกลุ่มธุรกิจและเจ้าหน้าที่รัฐ ตัวแอปมีไอคอนคล้ายโลโก้ธนาคารกลางรัสเซียบนโล่ ทำให้ดูน่าเชื่อถือ เมื่อเปิดใช้งานจะรันการสแกนปลอม พร้อมแสดงผลตรวจจับไวรัสแบบสุ่มเพื่อสร้างความน่าเชื่อถือ หลังติดตั้ง มัลแวร์จะขอสิทธิ์เข้าถึงทุกอย่าง ตั้งแต่ตำแหน่ง, กล้อง, ไมโครโฟน, ข้อความ, รายชื่อ, ไปจนถึงสิทธิ์ผู้ดูแลระบบ และ Android Accessibility Service ซึ่งช่วยให้มันทำตัวเป็น keylogger และควบคุมแอปยอดนิยมอย่าง Gmail, Telegram และ WhatsApp มัลแวร์จะรัน background service หลายตัว เช่น DataSecurity, SoundSecurity และ CameraSecurity โดยตรวจสอบทุกนาทีว่าทำงานอยู่หรือไม่ และรีสตาร์ตทันทีหากหยุด มันสามารถสตรีมเสียงจากไมค์, วิดีโอจากกล้อง, ข้อมูลหน้าจอแบบเรียลไทม์ และอัปโหลดข้อมูลทุกอย่างไปยังเซิร์ฟเวอร์ควบคุม (C2) รวมถึงภาพ, รายชื่อ, SMS, ประวัติการโทร และแม้แต่ข้อมูลแบตเตอรี่ ที่น่ากลัวคือ มันสามารถป้องกันตัวเองจากการถูกลบ โดยใช้ Accessibility Service เพื่อบล็อกการถอนการติดตั้ง หากผู้ใช้รู้ตัวว่าถูกโจมตี 📌 สรุปเนื้อหาเป็นหัวข้อ ➡️ มัลแวร์ Android.Backdoor.916.origin ปลอมตัวเป็นแอปแอนตี้ไวรัสชื่อ GuardCB ➡️ มีไอคอนคล้ายโลโก้ธนาคารกลางรัสเซียเพื่อสร้างความน่าเชื่อถือ ➡️ รันการสแกนปลอมพร้อมผลตรวจจับไวรัสแบบสุ่ม ➡️ ขอสิทธิ์เข้าถึงตำแหน่ง, กล้อง, ไมค์, SMS, รายชื่อ, และสิทธิ์ผู้ดูแลระบบ ➡️ ใช้ Accessibility Service เพื่อทำตัวเป็น keylogger และควบคุมแอปยอดนิยม ➡️ รัน background service หลายตัวและตรวจสอบทุกนาที ➡️ สตรีมเสียง, วิดีโอ, หน้าจอ และอัปโหลดข้อมูลไปยังเซิร์ฟเวอร์ควบคุม ➡️ ป้องกันการลบตัวเองโดยใช้ Accessibility Service ➡️ อินเทอร์เฟซของมัลแวร์มีเฉพาะภาษารัสเซีย แสดงว่าเจาะจงเป้าหมายเฉพาะ ✅ ข้อมูลเสริมจากภายนอก ➡️ มัลแวร์ถูกเขียนด้วยภาษา Kotlin และใช้ coroutine ในการจัดการ background task ➡️ ใช้การเชื่อมต่อ socket กับเซิร์ฟเวอร์ควบคุมเพื่อรับคำสั่งแบบเรียลไทม์ ➡️ คำสั่งที่รับได้รวมถึงการเปิด/ปิดการป้องกัน, อัปโหลด log, และดึงข้อมูลจากอุปกรณ์ ➡️ การใช้ Accessibility Service เป็นเทคนิคที่มัลแวร์ Android รุ่นใหม่ใช้กันแพร่หลาย ➡️ การปลอมตัวเป็นแอปที่เกี่ยวข้องกับหน่วยงานรัฐเป็นเทคนิคที่ใช้หลอกเป้าหมายเฉพาะ ➡️ Android Security Patch เดือนสิงหาคม 2025 ได้แก้ไขช่องโหว่หลายรายการที่เกี่ยวข้องกับการเข้าถึงระบบ https://hackread.com/fake-antivirus-app-android-malware-spy-russian-users/

🧠 ปฏิบัติการล่าข้ามแดน: เมื่อตำรวจไทยตามรอยแก๊ง SMS หลอกลวงและฟอกเงินด้วยคริปโต ในเดือนสิงหาคม 2025 ตำรวจไทยได้เปิดเผยสองปฏิบัติการใหญ่ที่สะเทือนวงการอาชญากรรมไซเบอร์ ทั้งในระดับท้องถิ่นและระดับนานาชาติ เรื่องแรกคือการจับกุมชายไทยสองคนในกรุงเทพฯ ที่ใช้เครื่อง SMS Blaster ส่งข้อความหลอกลวงวันละกว่า 20,000 ข้อความ โดยขับรถไปรอบเมืองพร้อมอุปกรณ์ที่สามารถยิงข้อความในรัศมี 1–2 กิโลเมตร ข้อความมักเป็นแนว “แต้มสะสมใกล้หมด” หรือ “คุณได้รับรางวัล” พร้อมลิงก์ปลอมที่หลอกให้กรอกข้อมูลธนาคาร เบื้องหลังคือหัวหน้าแก๊งชาวจีนที่สั่งการผ่าน Telegram โดยจ้างคนไทยขับรถและยิงข้อความในพื้นที่เป้าหมาย ซึ่งเป็นรูปแบบ “Smishing” ที่ผสมผสานเทคโนโลยีและการหลอกลวงแบบคลาสสิก อีกด้านหนึ่งคือ “Operation Skyfall” ที่ตำรวจไทยร่วมมือกับ Binance และหน่วยงานต่างประเทศเพื่อสืบสวนเครือข่ายฟอกเงินข้ามแดนที่ใช้แอปปลอมชื่อ “Ulela Max” หลอกให้เหยื่อลงทุนในหุ้นปลอม ก่อนนำเงินไปแปลงเป็น USDT แล้วส่งผ่านบัญชีในกัมพูชาและเมียนมาไปยังหัวหน้าแก๊งชาวจีน เครือข่ายนี้สามารถฟอกเงินได้มากกว่า 1 พันล้านบาทต่อเดือน โดยใช้บัญชีม้าและช่องทางดิจิทัลที่ซับซ้อน ตำรวจออกหมายจับ 28 คน และยึดเงินสดได้กว่า 46 ล้านบาทจากผู้ต้องสงสัยชาวเมียนมาในจังหวัดแม่สอด ✅ ลักษณะของอุปกรณ์ SMS Blaster ➡️ ส่งข้อความในรัศมี 1–3 กิโลเมตร ➡️ ใช้เทคโนโลยี False Base Station เลียนแบบเสาสัญญาณมือถือ ➡️ สามารถยิงข้อความได้ถึง 100,000 ข้อความต่อชั่วโมง ✅ ปฏิบัติการ Operation Skyfall ➡️ เครือข่ายฟอกเงินข้ามแดนผ่านแอปปลอม “Ulela Max” ➡️ เหยื่อถูกหลอกให้ลงทุนในหุ้นปลอมผ่านกลุ่ม Line และ Facebook ➡️ เงินถูกแปลงเป็น USDT แล้วส่งผ่านบัญชีในกัมพูชาและเมียนมา ✅ ความร่วมมือระหว่างหน่วยงาน ➡️ ตำรวจไทยร่วมมือกับ Binance และ Bitkub ในการติดตามธุรกรรมคริปโต ➡️ ยึดเงินสดกว่า 46 ล้านบาทจากผู้ต้องสงสัยในแม่สอด ➡️ ออกหมายจับ 28 คน รวมถึงผู้ต้องสงสัยต่างชาติและบัญชีม้า https://hackread.com/police-bust-crypto-scam-smishing-sms-blaster-operator/

🛡️💸 เรื่องเล่าจากโลกคริปโต: เมื่อการกู้เงินด้วยเหรียญดิจิทัลต้องเผชิญภัยไซเบอร์ ในยุคที่คริปโตไม่ใช่แค่การลงทุน แต่กลายเป็นสินทรัพย์ที่ใช้ค้ำประกันเงินกู้ได้ “Crypto-backed lending” จึงกลายเป็นเทรนด์ที่ทั้งนักลงทุนรายย่อยและสถาบันต่างหันมาใช้กันมากขึ้น เพราะมันเปิดโอกาสให้ผู้ถือเหรียญสามารถกู้เงินโดยไม่ต้องขายเหรียญออกไป แต่ในความสะดวกนั้น ก็มีเงามืดของภัยไซเบอร์ที่ซ่อนอยู่ เพราะเมื่อมีสินทรัพย์ดิจิทัลมูลค่าหลายหมื่นล้านดอลลาร์ถูกล็อกไว้ในแพลตฟอร์มเหล่านี้ แฮกเกอร์ก็ยิ่งพัฒนาเทคนิคใหม่ ๆ เพื่อเจาะระบบให้ได้ ภัยที่พบได้บ่อยคือการเจาะ smart contract ที่มีช่องโหว่ เช่นกรณี Inverse Finance ที่ถูกแฮกผ่านการบิดเบือนข้อมูลจาก oracle จนสูญเงินกว่า 15 ล้านดอลลาร์ หรือกรณี Atomic Wallet ที่สูญเงินกว่า 35 ล้านดอลลาร์เพราะการจัดการ private key ที่หละหลวม นอกจากนี้ยังมีการปลอมเว็บกู้เงินบน Telegram และ Discord เพื่อหลอกให้ผู้ใช้กรอก seed phrase หรือ key รวมถึงมัลแวร์ที่แอบเปลี่ยน address ใน clipboard เพื่อขโมยเหรียญแบบเนียน ๆ บทเรียนจากอดีต เช่นการล่มของ Celsius Network และการถูกเจาะซ้ำของ Cream Finance แสดงให้เห็นว่าไม่ใช่แค่โค้ดที่ต้องแข็งแรง แต่กระบวนการภายในและการตรวจสอบความเสี่ยงก็ต้องเข้มงวดด้วย แนวทางป้องกันที่ดีคือการใช้ multi-signature wallet เช่น Gnosis Safe, การตรวจสอบ smart contract ด้วย formal verification, การตั้งระบบตรวจจับพฤติกรรมผิดปกติแบบ real-time และการให้ผู้ใช้ใช้ hardware wallet ร่วมกับ 2FA เป็นมาตรฐาน ✅ Crypto-backed lending เติบโตอย่างรวดเร็วในปี 2024 ➡️ มีสินทรัพย์กว่า $80B ถูกล็อกใน DeFi lending pools ✅ ผู้ใช้สามารถกู้ stablecoin โดยใช้ BTC หรือ ETH เป็นหลักประกัน ➡️ ไม่ต้องขายเหรียญเพื่อแลกเป็นเงินสด ✅ ช่องโหว่ใน smart contract เป็นจุดเสี่ยงหลัก ➡️ เช่นกรณี Inverse Finance สูญเงิน $15M จาก oracle manipulation ✅ การจัดการ private key ที่ไม่ปลอดภัยนำไปสู่การสูญเงินมหาศาล ➡️ Atomic Wallet สูญเงิน $35M จาก vendor ที่เก็บ key ไม่ดี ✅ การปลอมเว็บกู้เงินและมัลแวร์ clipboard เป็นภัยที่พุ่งเป้าผู้ใช้ทั่วไป ➡️ พบมากใน Telegram, Discord และ browser extensions ✅ Celsius Network และ Cream Finance เคยถูกแฮกจากการควบคุมภายในที่อ่อนแอ ➡️ เช่นการไม่อัปเดตระบบและการละเลย audit findings ✅ แนวทางป้องกันที่แนะนำคือ multi-sig wallet, formal verification และ anomaly detection ➡️ Gnosis Safe เป็นเครื่องมือยอดนิยมใน DeFi ✅ ตลาด crypto lending มีแนวโน้มเติบโตต่อเนื่อง ➡️ คาดว่าจะกลายเป็นเครื่องมือการเงินหลักในอนาคต ✅ Blockchain ช่วยเพิ่มความโปร่งใสและลดการพึ่งพาตัวกลาง ➡️ แต่ก็ยังต้องพึ่งระบบรักษาความปลอดภัยที่แข็งแรง ✅ End-to-end encryption และ biometric login เป็นแนวทางเสริมความปลอดภัย ➡️ ช่วยลดความเสี่ยงจาก phishing และ social engineering ✅ การใช้ระบบ real-time monitoring และ kill switch ช่วยหยุดการโจมตีทันที ➡️ ลดความเสียหายจากการเจาะระบบแบบ flash attack https://hackread.com/navigating-cybersecurity-risks-crypto-backed-lending/