ซอฟต์แวร์
แอปพลิเคชันบนมือถือ
เช็คความเร็วเน็ต (Speedtest)
เช็คไอพี (Check IP)
เช็คเลขพัสดุ
สุ่มออนไลน์ (Online Random)
มินิเกม
มัลแวร์ SmokeLoader ใช้ช่องโหว่ของไฟล์ XLS และ DOC ในการแทรกซึมลงเครื่องของเหยื่อ
Sarun_ss777
การแพร่กระจายมัลแวร์นั้นมักจะมีความนิยมใช้ไฟล์ที่ดูไม่มีพิษมีภัยหลายตัวเพื่อมาเป็นพาหะเสมอ และในระยะหลังก็ได้เริ่มมีการใช้ไฟล์ที่ใกล้ตัวมากขึ้นเรื่อย ๆ ไม่ว่าจะเป็นไฟล์ PDF, SVG มาจนถึง DOC และ XLS
จากรายงานโดยเว็บไซต์ Cyber Security News ได้มีการอ้างอิงถึงงานวิจัยจากทีมวิจัยแห่ง FortiGuard Labs ซึ่งเป็นส่วนหนึ่งของบริษัท Fortinet องค์กรผู้เชี่ยวชาญด้านการพัฒนาโซลูชันความปลอดภัยไซเบอร์ในระดับองค์กร ได้พบว่ามัลแวร์ SmokeLoader ซึ่งเป็นมัลแวร์ประเภทนกต่อเพื่อดาวน์โหลดมัลแวร์ตัวอื่น ๆ ลงมาติดบนเครื่องของเหยื่อ (Loader) โดยมัลแวร์ดังกล่าวนั้นนอกจากจะมีความสามารถในการดาวน์โหลดปลั๊กอินต่าง ๆ จากเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) เพื่อโจมตีเครื่องของเหยื่อแล้ว ยังมีความสามารถในการขโมยข้อมูลต่าง ๆ เช่น รหัสผ่าน, ข้อความที่กรอกอยู่ในส่วนของ Autofill (ระบบกรอกแบบฟอร์มอัตโนมัติจากข้อมูลที่มีอยู่แล้ว), ไฟล์คุกกี้, และที่อยู่อีเมลต่าง ๆ ผ่านทางปลั๊กอินอันตรายที่ดาวน์โหลดลงมาอีกด้วย นอกจากนั้น ตัวปลั๊กอินยังมีการฝังตัวใน Process สำคัญอย่าง explorer.exe เพื่อการันตีว่าตัวปลั๊กอินจะทำงานอยู่ตลอดเวลาไม่มีขาดช่วง
- มัลแวร์ใหม่ EAGERBEE มุ่งลอบขโมยข้อมูลหน่วยงานราชการทั่วตะวันออกกลาง และกลุ่มอาเซียน
- แฮกเกอร์หลอกติดตั้งมัลแวร์ขโมยข้อมูล ใช้ความสงสารหลอกเหยื่อ "ช่วยเล่นเกมที่ผมสร้างหน่อย"
- แฮกเกอร์ปล่อยมัลแวร์ PLAYFULGHOST ใช้ SEO หลอกเหยื่อเข้าเว็บโหลดแอป VPN ปลอม
- พบมัลแวร์ FireScam ปลอมตัวเป็นแอป Telegram หลอกติดตั้งเพื่อเข้าขโมยข้อมูลเหยื่อ
- มัลแวร์ Lumma Stealer ระบาดหนักเกือบ 400% ในปี 2024 เทียบกับปีก่อน
โดยจากรายงานนั้นพบว่ามัลแวร์ดังกล่าวได้มีการอาศัยช่องโหว่ CVE 2017-11882 ที่อยู่บนไฟล์ประเภท .Doc และ CVE 2017-0199 ซึ่งเป็นช่องโหว่ที่อยู่บนไฟล์ประเภท .XLS โดยช่องโหว่ทั้ง 2 ช่องนั้นมีจุดร่วมกันในการเปิดโอกาสให้แฮกเกอร์สามารถรันโค้ดจากระยะไกล (Remote Code Execution หรือ RCE) ได้
ซึ่งสำหรับขั้นตอนการโจมตีนั้นจะเริ่มขึ้นจากการที่แฮกเกอร์ส่ง Phishing Email เพื่อหลอกให้เหยื่อทำการดาวน์โหลดและเปิดไฟล์ดังกล่าวขึ้นมา โดยหลังจากที่เหยื่อทำการเปิดไฟล์ .XLS ขึ้นมาแล้ว ภายในนั้นจะมีลิงก์ที่นำไปสู่การดาวน์โหลดไฟล์อีกตัวหนึ่งลงมา ขั้นตอนถัดไปอาจแบ่งเป็น 2 ทางคือ
- เหยื่อกดลิงก์แล้วดาวน์โหลดไฟล์ .DOC ออกมา โดยสคริปท์อันตรายนั้นจะซ่อนอยู่ในส่วนของเครื่องมือปรับแต่งสมการ (Equation Editor) ของ Microsoft Office จะถูกรันเพื่อดาวน์โหลดไฟล์ สคริปท์ .VBS ที่จะนำไปสู่การดาวน์โหลดมัลแวร์นกต่อตัวแรกที่มีชื่อว่า AndeLoader โดยตัวมัลแวร์ตัวนี้จะทำการดาวน์โหลดมัลแวร์นกต่อที่เป็นกรณีอยู่ในข่าว SmokeLoader ลงมาอีกที โดย SmokeLoader จะติดต่อกับเซิร์ฟเวอร์ C2 เพื่อดาวน์โหลดปลั๊กอินอันตรายต่าง ๆ ลงมาติดบนเครื่อง
- ในอีกกรณีหนึ่งคือ เป็นการดาวน์โหลดไฟล์ HTA อันจะนำไปสู่การรันสคริปท์เพื่อดาวน์โหลด AndeLoader และ SmokeLoader เป็นลำดับตามที่กล่าวไว้ในข้อก่อน
ภาพจาก : https://cybersecuritynews.com/smokeloader-malware-exploits-doc-xls/
ถึงมัลแวร์ดังกล่าวจะมีความร้ายกาจมาก แต่ด้วยการปราบปรามอย่างจริงจังจากสำนักงานตำรวจยุโรป หรือ Europol นำไปสู่การทลายโครงสร้างพื้นฐานของมัลแวร์หลายตัว รวมไปถึงมัลแวร์ SmokeLoader ด้วย ทำให้การโจมตีด้วยมัลแวร์ตัวดังกล่าวลดน้อยลงไปมาก แต่ก็ยังไม่หมดไปเสียทีเดียว ดังนั้นขอให้ผู้อ่านมีความระมัดระวังในการดาวน์โหลดไฟล์นามสกุลดังกล่าวจากอีเมลที่ไม่น่าไว้วางใจ และถ้าเผลอเปิดไปแล้ว ขอให้ยั้งใจอย่างคลิกลิงก์แปลก ๆ ภายในเป็นอันขาด
ที่มา : cybersecuritynews.com
คำสำคัญ »
|
|
ข่าวไอทีที่เกี่ยวข้อง
แสดงความคิดเห็น
ข่าวไอทีแนะนำ
ข่าวประชาสัมพันธ์
Thaiware.com is owned and operated by Thaiware Communication Co., Ltd.