ล้ำไปอีก! มัลแวร์ Voldemort ใช้ Google Sheet ในการเก็บข้อมูลที่ถูกขโมยจากเหยื่อ

Voldemort หรือ โวลเดอร์มอร์ อาจจะเป็นชื่อที่คุ้นเคยกันดีในฐานะพ่อมดผู้ชั่วร้ายอันโด่งดังจากซีรีส์นิยายและภาพยนตร์ชื่อดัง Harry Potter ซึ่งเป็นพ่อมดที่มีอิทธิฤทธิ์มาก และมีวิธีการทำงานที่เหนือจินตนาการ แต่ตอนนี้ชื่อของพ่อมดอันโด่งดังนี้ กำลังกลายเป็นประเด็นในโลกไซเบอร์อยู่

จากรายงานโดยเว็บไซต์ The Hacker News ได้รายงานถึงการตรวจพบมัลแวร์ Voldemort ที่เป็นการตั้งชื่อตามพ่อมดชื่อดังตามที่กล่าวไว้ข้างต้น โดยทางทีมวิจัยแห่งบริษัท Proofpoint บริษัทผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ โดยมัลแวร์ดังกล่าวนั้น ทางแหล่งข่าวได้ระบุว่าเป็นมัลแวร์แบบลูกผสมระหว่างมัลแวร์เพื่อการขโมยข้อมูล และทำตัวเป็นนกต่อเพื่อปล่อยมัลแวร์ตัวอื่น ๆ ลงสู่ระบบปลายทาง ซึ่งทางทีมวิจัยได้สรุปว่า เป็นมัลแวร์ประเภทเพื่อการเปิดประตูหลังของระบบ หรือ Backdoor Malware ซึ่งมัลแวร์ตัวนี้นั้นมีวิธีการทำงานที่แปลกไปจากตัวอื่นคือ มีการใช้เครื่องมือสเปรดชีตยอดนิยม Google Sheet มาเพื่อใช้เป็นเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ซึ่งนอกจากจะเป็นจุดที่แฮกเกอร์ใช้ในการควบคุมและส่งคำสั่งให้มัลแวร์โดยแฮกเกอร์แล้ว ยังถูกใช้เป็นเครื่องมือเพื่อจัดเก็บข้อมูลที่มัลแวร์ขโมยมาอีกด้วย

โดยแฮกเกอร์ที่อยู่เบื้องหลังมัลแวร์ดังกล่าวนั้น ได้ทำการส่งอีเมล Phishing กว่า 2 หมื่นฉบับ โดยอ้างตนเป็นหน่วยงานด้านการจัดเก็บภาษี เพื่อหลอกลวงให้พนักงานในบริษัทกว่า 70 แห่ง จากหลากอุตสาหกรรมทั่วโลก ไม่ว่าจะเป็น ประกันชีวิต, อากาศยาน, ยานยนต์, การเงิน, สุขภาพ, ภาคการผลิต, หรือ แม้แต่กลุ่มองค์กรการกุศลก็ยังตกเป็นเหยื่อของแฮกเกอร์ในการหลอกลวงให้ติดตั้งมัลแวร์ตัวดังกล่าว โดยแฮกเกอร์จะส่งอีเมลที่หลอกให้เหยื่อนั้นกดเข้า URLs ที่เป็นหน้าเพจตัวกลางที่อยู่บน Google AMP Cache โดยอ้างว่าเป็นการเข้าเพื่อกรอกแบบฟอร์มในการยื่นภาษี ซึ่งหลังจากที่เหยื่อได้คลิกเข้าไปแล้วก็จะนำไปสู่หน้าเพจที่กล่าวไว้ข้างต้น

ภาพจาก : https://www.proofpoint.com/us/blog/threat-insight/malware-must-not-be-named-suspected-espionage-campaign-delivers-voldemort

โดยหน้าเพจนี้จะมีการตรวจสอบ User-Agent String (สตริงส่วนที่บอกรายละเอียดถึงการใช้งานของเหยื่อว่าใช้อุปกรณ์ และระบบปฏิบัติการชนิดใด) เพื่อตรวจว่าตัวเหยื่อนั้นมีการใช้ระบบปฏิบัติการ Windows หรือไม่ ซึ่งถ้าพบว่าใช่ หน้าเพจก็จะมีการรันโปรโตคอลที่มีชื่อว่า search-ms: URI protocol handler เพื่อโชว์ไฟล์หลอกลวงปลอมตัวเป็นไฟล์ PDF สำหรับเปิดด้วย Adobe Acrobat ทั้งที่ไฟล์นั้นเป็นไฟล์นามสกุล .LNK ซึ่งเป็นไฟล์ประเภท Internet Shortcut ที่มีการสอดไส้โค้ด PowerShell ของมัลแวร์ที่จะรันขึ้นทันทีหลังจากที่เหยื่อกดเพื่อเปิดไฟล์ ซึ่งตัวโค้ดนี้เองก็จะทำการรัน Python.exe จาก WebDAV (Web-based Distributed Authoring and Versioning) บนส่วนของ Library ที่อยู่บนเซิร์ฟเวอร์ เพื่อรัน Python Scripts บนส่วนของ Resource ที่อยู่บนโฮสต์เดียวกัน ซึ่งด้วยวิธีการนี้นั้นจะช่วยให้แฮกเกอร์สามารถรันสคริปท์ได้โดยที่ได้ต้องดาวน์โหลดไฟล์ใด ๆ ลงสู่เครื่องเลย

ภาพจาก : https://www.proofpoint.com/us/blog/threat-insight/malware-must-not-be-named-suspected-espionage-campaign-delivers-voldemort

หลังจากที่สคริปท์ Python ได้ทำการรันเพื่อเก็บข้อมูลเกี่ยวกับระบบของเครื่องเหยื่อเป็นที่เรียบร้อยแล้ว เซิร์ฟเวอร์ก็จะทำการโชว์ไฟล์ PDF หลอกให้กับเหยื่อ ซึ่งเมื่อเหยื่อกดเพื่อดาวน์โหลด เหยื่อก็จะได้เป็นไฟล์ Zip ที่ถูกป้องกันด้วยรหัสผ่านไว้อยู่ลงมาจาก OpenDrive ซึ่งภายในไฟล์ Zip ดังกล่าวนั้นจะประกอบด้วยไฟล์ 2 ตัว คือ "CiscoCollabHost.exe" และไฟล์ "CiscoSparkLauncher.dll" โดยไฟล์หลังนั้นเป็นมัลแวร์ Voldemort ตัวจริง

จะเห็นได้ว่ามัลแวร์ดังกล่าวนั้นมีวิธีการที่ซับซ้อนในการฝังตัวเองลงสู่เครื่อง แต่ทางทีมวิจัยนั้นมีการตั้งข้อสังเกตว่าการโจมตีกลับอยู่ในวงเล็ก มุ่งเน้นในระดับองค์กรในอุตสาหกรรมต่าง ๆ มากกว่าการโจมตีกลุ่มบุคคลทั่วไป ทำให้สันนิษฐานว่า อาจเป็นการฝังตัวเพื่อการสอดแนมขโมยข้อมูลในองค์กรธุรกิจที่สำคัญ ๆ เสียมากกว่า ซึ่งขณะนี้แหล่งข่าวไม่ได้มีการระบุว่าไทยนั้นตกเป็นเป้าหมาย ณ เวลานี้ แต่หน่วยงานต่าง ๆ ก็ไม่ควรที่จะประมาท ทางทีมข่าวขอแนะนำให้คงความเข้มงวดในนโยบายความปลอดภัยไซเบอร์ และตรวจสอบไฟล์ที่พนักงานดาวน์โหลดลงสู่ระบบทุกครั้ง