อินเซปชั่น ? แฮ็กเกอร์ใช้ Antivirus Update เพื่อปล่อยมัลแวร์เข้าเครื่องของเหยื่อ

นับตั้งแต่ยุคสมัยที่คอมพิวเตอร์ส่วนบุคคลตามบ้านเริ่มเป็นที่นิยม ผู้ใช้งานก็มักจะหาโปรแกรมป้องกันไวรัสคอมพิวเตอร์ หรือ Antivirus มาติดตั้งเพื่อป้องกันเครื่องคอมพิวเตอร์ที่ราคาค่อนข้างสูงกันอย่างสม่ำเสมอ แต่เหตุการณ์จะเป็นอย่างไร ถ้าแฮกเกอร์นั้นกลับใช้ Antivirus เป็นเครื่องมือสำหรับการปล่อยไวรัสหรือมัลแวร์เข้าเครื่องเสียเอง

ทางเว็บไซต์ Bleeping Computing รายงานว่า นักวิจัยจาก Avast บริษัทด้านความปลอดภัยทางไซเบอร์ที่มีชื่อเสียง ได้ค้นพบกลุ่มแฮกเกอร์ที่ใช้มัลแวร์ชื่อ GuptiMiner ที่มีความสามารถในการขโมยข้อมูลบนเครื่องของเหยื่อ รวมไปถึงการดักจับการพิมพ์ของเหยื่อ (keylogger) ได้อีกด้วย โดยแฮกเกอร์ได้อาศัยช่องโหว่ของซอฟต์แวร์ Antivirus ที่มีชื่อว่า eScan ในการปล่อยมัลแวร์ผ่านระบบอัปเดตของซอฟต์แวร์ตัวดังกล่าวด้วยวิธีการที่มีความซับซ้อนแต่สามารถสรุปได้โดยสังเขปดังนี้ 

ทางกลุ่มผู้โจมที่จะทำการแทรกซึมผ่านระบบการอัปเดตซอฟต์แวร์ eScan ด้วยวิธี adversary-at-the-middle (AiTm) โดยการเปลี่ยนแพ็คเกจของตัวอัปเดตข้อมูลไวรัสของซอฟต์แวร์ตัวดังกล่าวให้เป็นไฟล์ที่เกี่ยวข้องกับมัลแวร์ในชื่อ “updll62.dlz” แทน

ซึ่งไฟล์ดังกล่าวนั้นเป็นการสอดไส้ทั้งตัวอัปเดตจริงของซอฟต์แวร์ Antivirus แต่ตัวไฟล์ที่เกี่ยวข้องกับมัลแวร์ที่มีชื่อว่า “version.dll” ที่จะทำงานระหว่างที่ตัวซอฟต์แวร์กำลังทำการอัปเดต เปิดช่องให้ไฟล์ที่เกี่ยวข้องกับมัลแวร์ได้รับสิทธิ์ในการเข้าถึงตัวระบบ นำไปสู่การเปิดประตูหลัง (Backdoor) เพื่อนำเข้าไฟล์ที่เกี่ยวข้องและโค้ดต่าง ๆ ที่ทางผู้โจมตีได้เตรียมไว้เข้าสู่ระบบเพื่อครอบงำเครื่องของเหยื่อโดยสมบูรณ์

ภาพจาก https://www.bleepingcomputer.com/news/security/hackers-hijack-antivirus-updates-to-drop-guptiminer-malware/

โดยปัจจุบันนั้น ทาง Avast ได้รายงานการค้นพบช่องโหว่ให้กับทาง eScan เป็นที่เรียบร้อยแล้ว และทาง eScan ได้ยืนยันว่าปัญหาดังกล่าวถูกแก้ไขเป็นที่เรียบร้อยแล้วในหลังจากที่ทางบริษัทได้รับรายงานของช่องโหว่ดังกล่าวระหว่างปี ค.ศ. 2019 - ค.ศ. 2022 (พ.ศ. 2562 - 2565) แต่ทาง Avast ยังสังเกตว่ามัลแวร์ดังกล่าวยังคงแพร่ระบาดอยู่ ทำให้ทางหน่วยงานสันนิษฐานว่าอาจเกิดจากเหยื่อยังใช้งานซอฟต์แวร์ eScan ในรุ่นเก่าอยู่