ผู้ไม่ประสงค์ดีกำลังมุ่งเป้าไปที่ผู้ไม่ประสงค์ดีมือใหม่ที่เรียกว่า "script kiddies" โดยใช้เครื่องมือสร้าง Malware ปลอมที่ถูกซ่อน Malware ไว้ เพื่อให้คอมพิวเตอร์ของคนเหล่านั้นติดตั้ง backdoor เพื่อขโมยข้อมูล และเข้าควบคุมคอมพิวเตอร์
จากการรายงานของนักวิจัยด้านความปลอดภัยจาก CloudSEK พบว่า Malware นี้ได้แพร่กระจายไปยังอุปกรณ์มากถึง 18,459 เครื่องทั่วโลก โดยส่วนใหญ่จะพบในประเทศรัสเซีย, สหรัฐอเมริกา, อินเดีย, ยูเครน และตุรกี
รายงาน CloudSEK ยังระบุว่า เวอร์ชันที่ถูกดัดแปลงของเครื่องมือ XWorm RAT ถูกนำมาใช้ในการโจมตีครั้งนี้ และได้ถูกเผยแพร่ไปยังผู้ใช้งานจำนวนมาก
"มันถูกออกแบบมาเพื่อโจมตีโดยเฉพาะกับกลุ่ม script kiddies ที่เป็นมือใหม่ในด้านความปลอดภัยทางไซเบอร์ และมักจะดาวน์โหลดเครื่องมือต่าง ๆ แล้วใช้ทันที ซึ่งก็แสดงให้เห็นว่าแม้แต่ในกลุ่มผู้ไม่ประสงค์ดีเองก็ไม่มีความซื่อสัตย์ต่อกัน"
นักวิจัยจาก CloudSEK พบว่า Malware นี้มีฟังก์ชันที่เรียกว่า ‘kill switch’ ซึ่งสามารถลบ Malware ออกจากเครื่องที่ติด Malware หลายเครื่องได้ แต่ยังมีบางเครื่องที่ยังคงถูกโจมตีอยู่ เนื่องจากมีข้อจำกัดในการดำเนินการ
เครื่องมือสร้าง RAT ปลอมหลอกติดตั้ง Malware
นักวิจัยระบุว่า พวกเขาพบเครื่องมือสร้าง XWorm RAT ที่ถูกดัดแปลงเป็น Trojan กำลังถูกเผยแพร่ผ่านช่องทางต่าง ๆ เช่น GitHub repositories, แพลตฟอร์ม file hosting, ช่อง Telegram, วิดีโอใน YouTube และเว็บไซต์ต่าง ๆ
ช่องทางเหล่านี้ถูกใช้โปรโมตเครื่องมือสร้าง RAT โดยอ้างว่าเครื่องมือนี้จะช่วยให้ผู้ไม่ประสงค์ดีคนอื่นสามารถใช้ Malware ได้โดยไม่ต้องจ่ายเงิน
แทนที่จะเป็นเครื่องมือสร้าง XWorm RAT จริง ๆ มันกลับแอบติดตั้ง Malware ในอุปกรณ์ของพวกเขา
เมื่อคอมพิวเตอร์ติด Malware มันจะตรวจสอบ Windows Registry ว่าเครื่องนั้นทำงานในสภาพแวดล้อม virtualized หรือไม่ ถ้าพบว่ามันทำงานในเครื่อง virtual มันจะหยุดทำงาน แต่ถ้าพบว่าไม่ใช่ มันจะทำการเปลี่ยนแปลงบางอย่างในระบบเพื่อให้มันยังคงทำงานได้ทุกครั้งที่เปิดเครื่องใหม่
ทุกระบบที่ติด Malware จะถูก register กับเซิร์ฟเวอร์ที่ใช้ Telegram เป็นระบบควบคุมคำสั่ง (C2) โดยใช้ Telegram bot ID และโทเค็นที่ฝังไว้ในตัว Malware
Malware ยังสามารถขโมยโทเค็นของ Discord, ข้อมูลระบบ และข้อมูลตำแหน่ง (จาก IP address) โดยอัตโนมัติ และส่งข้อมูลเหล่านั้นไปยังเซิร์ฟเวอร์ C2 แล้วรอคำสั่งอื่น ๆ จากผู้ไม่ประสงค์ดี
จากคำสั่งทั้งหมด 56 คำสั่ง ตัวอย่างต่อไปนี้คือคำสั่งที่เป็นอันตรายโดยเฉพาะ:
- /machine_id*browsers - ขโมยรหัสผ่านที่บันทึกไว้, คุกกี้ และ autofill data จากเว็บเบราว์เซอร์
- /machine_id*keylogger - บันทึกทุกสิ่งที่เป้าหมายพิมพ์บนคอมพิวเตอร์
- /machine_id*desktop - จับภาพหน้าจอของเป้าหมายในขณะที่กำลังใช้งาน
- /machine_id*encrypt<password>{*} - เข้ารหัสไฟล์ทั้งหมดในระบบด้วยรหัสผ่านที่กำหนด
- /machine_id*processkill<process>* - ปิดการทำงานของโปรแกรมที่กำลังทำงานอยู่ รวมถึงซอฟต์แวร์รักษาความปลอดภัย
- /machine_id*upload<file>* - ขโมยไฟล์ที่ระบุไว้โดยเฉพาะจากระบบที่ติด Malware
- /machine_id*uninstall - ถอนการติดตั้ง Malware จากอุปกรณ์
CloudSEK พบว่า ผู้ไม่ประสงค์ดีได้ขโมยข้อมูลจากอุปกรณ์ที่ติด Malware ประมาณ 11% โดยส่วนใหญ่จะเป็นการจับภาพหน้าจอของอุปกรณ์ที่ติด Malware และขโมยข้อมูลจากเบราว์เซอร์
การหยุดการทำงานด้วย kill switch
นักวิจัยจาก CloudSEK ได้ใช้เครื่องมือพิเศษที่ฝังอยู่ใน Malware เพื่อหยุดการทำงานของเครือข่ายคอมพิวเตอร์ที่ถูกโจมตี (Botnet) โดยการใช้ API token ที่ถูกตั้งค่าไว้ล่วงหน้า และฟังก์ชัน kill switch ที่สามารถลบ Malware ออกจากเครื่องที่ติด Malware ได้
พวกเขาส่งคำสั่งถอนการติดตั้งจำนวนมากไปยังเครื่องที่กำลังเชื่อมต่อทั้งหมด โดยการวนผ่าน ID เครื่องทั้งหมดที่พวกดึงออกมาจาก Telegram logs ที่มีอยู่ก่อนหน้านี้ พวกเขายังใช้วิธีการ brute-force โดยการเดาหมายเลขเครื่องจาก 1 ถึง 9999 โดยคาดเดาว่าหมายเลขเครื่องจะเป็นลำดับตัวเลข
แม้ว่าคำสั่งที่ส่งไปจะช่วยลบ Malware จากเครื่องที่ติด Malware ได้หลายเครื่อง แต่เครื่องที่ไม่ได้ออนไลน์ตอนที่ส่งคำสั่งจะยังคงติด Malware อยู่
นอกจากนี้ Telegram มีการจำกัดจำนวนข้อความที่สามารถส่งได้ในแต่ละช่วงเวลา ทำให้คำสั่งถอนการติดตั้งบางคำสั่งอาจหายไประหว่างทาง
การที่ผู้ไม่ประสงค์ดีโจมตีผู้ไม่ประสงค์ดีเป็นสถานการณ์ที่เราเห็นได้บ่อยในโลกไซเบอร์
บทเรียนจากการค้นพบของ CloudSEK คือ อย่าไว้ใจซอฟต์แวร์ที่ไม่ได้รับการรับรอง โดยเฉพาะซอฟต์แวร์ที่ถูกเผยแพร่โดยอาชญากรไซเบอร์รายอื่น และควรติดตั้งเครื่องมือสร้าง Malware ในสภาพแวดล้อมที่ใช้ทดสอบ หรือวิเคราะห์เท่านั้น
ไม่มีความคิดเห็น:
แสดงความคิดเห็น