มัลแวร์ OtterCookie กลับมาแล้วพร้อมฟีเจอร์ใหม่โจมตีได้ทั้ง Windows, macOS และ Linux

มัลแวร์หลายตัวที่กำลังระบาดอยู่ในปัจจุบันนั้น เมื่อพิจารณาให้ดีแล้วก็มักจะพบว่า ถึงแม้จะมีมัลแวร์ใหม่จำนวนมากแต่หลายตัวเองนั้นก็เป็นตัวเก่าที่เคยเป็นข่าวแล้วกลับมาในเวอร์ชันใหม่ หรือเปลี่ยนแค่ชื่อแต่ตัวโค้ด และการทำงานหลัก ๆ ไม่ต่างจากเดิมมากมายนัก อย่างเช่นในข่าวนี้เป็นต้น

จากรายงานโดยเว็บไซต์ GB Hackers ได้กล่าวถึงการตรวจพบการกลับมาของ OtterCookie ซึ่งเป็นมัลแวร์จากเกาหลีเหนือจากฝีมือการพัฒนาของกลุ่มแฮกเกอร์ที่ชื่อว่า WaterPlum ที่เคยระบาดมาแล้วในช่วงปี ค.ศ. 2024 (พ.ศ. 2567) ซึ่งเมื่อย้อนกลับไป 1 ปีก่อนหน้านั้นในปี ค.ศ. 2023 (พ.ศ. 2566) แฮกเกอร์กลุ่มเดียวกันนี้ก็เคยมีการพัฒนามัลแวร์ที่มีชื่อว่า BeaverTail และ InvisibleFerret ในการนำมาใช้กับแคมเปญการจู่โจมด้วยการสัมภาษณ์งานปลอมเพื่อหลอกให้ดาวน์โหลดและติดตั้งมัลแวร์ เรียกได้ว่าแฮกเกอร์กลุ่มดังกล่าวนั้นมีประวัติการทำงานที่โชกโชนทีเดียว ซึ่งสำหรับมัลแวร์  OtterCookie นั้นทางแหล่งข่าวได้ระบุว่าทางกลุ่มแฮกเกอร์ได้พัฒนามาอย่างต่อเนื่องตั้งแต่เดือนธันวาคมปีที่ผ่านมา มาจนถึงเดือนเมษายนปีนี้ มัลแวร์ดังกล่าวก็ได้พัฒนามาถึงรุ่น V4 ที่มีศักยภาพการทำงานที่สูงกว่ารุ่นดั้งเดิมมากเป็นที่เรียบร้อยแล้ว โดยมัลแวร์ตัวนี้เวอร์ชันปัจจุบันนั้น สามารถเล่นงานได้ทั้งผู้ใช้งาน Windows, macOS, และ Linux โดยมุ่งเน้นไปที่การสอดแนมและขโมยข้อมูลจากเหยื่อ

ทางแหล่งข่าวยังได้ทำการรายงานถึงพัฒนาการของมัลแวร์ดังกล่าวอีกว่า มัลแวร์ในเวอร์ชัน V1 นั้นมีประสิทธิภาพในการขโมยไฟล์และการทำงานที่จำกัดมาก แต่ก็ยังถูกพัฒนาเรื่อยมา ถึงรุ่น V3 ซึ่งถูกปล่อยใช้งานในช่วงเดือนกุมภาพันธ์ที่ผ่านมา ได้มีการใช้โมดูล (Module) หลักสำหรับการติดต่อสื่อสารกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) และจัดการการทำงานของคุณสมบัติดั้งเดิมที่มีมาแต่เดิม รวมทั้งได้เพิ่มการสนับสนุนการขโมยไฟล์จากเครื่องที่ใช้ระบบปฏิบัติการ Windows ผ่านทางส่วนเสริม (Extension) พิเศษ รวมทั้งยังมีการฝังโค้ดคำสั่งถาวร (Hardcoded) สำหรับการขโมยไฟล์จำพวกเอกสาร, รูปภาพ และไฟล์อื่น ๆ ที่เกี่ยวข้องกับคริปโทเคอร์เรนซีบนระบบปฏิบัติการตัวอื่น ๆ 

มัลแวร์ได้พัฒนามาถึงรุ่น V4 ที่ถูกปล่อยใช้งานในเดือนเมษายนที่ผ่านมานั้น ได้มีการนำเอาเทคโนโลยี และเทคนิคชั้นสูงหลายอย่างเข้ามาใช้งาน เช่น เครื่องมือขโมยไฟล์ (Stealer) ที่สามารถมุ่งเน้นไปยังข้อมูลอ่อนไหว (Sensitive Data) ต่าง ๆ ที่ถูกเก็บไว้บนเครื่องโดยเฉพาะได้ผ่านทาง โมดูล 2 ตัว โดยตัวแรกนั้นจะทำการขโมยข้อมูลการล็อกอินที่ถูกเก็บไว้บนเว็บเบราว์เซอร์ Chrome ด้วยการใช้ DPAPI แล้วทำการเก็บข้อมูลไว้กับแฮกเกอร์เพื่อใช้งานภายหลัง ขณะที่อีกโมดูลหนึ่งนั้น จะเน้นไปที่การขโมยรหัสผ่านสำหรับใช้งานเครื่องมือสำคัญที่ถูกเข้ารหัสไว้ เช่น MetaMask, Chrome, Brave และ macOS โดยจากการตรวจสอบนั้นทางทีมวิจัยพบว่าผู้เขียนโค้ดสำหรับ 2 โมดูลนั้นน่าจะเป็นคนละคนกัน เนื่องจากมีวิธีการเขียนที่แตกต่างกัน ไม่เพียงเท่านั้น ตัวมัลแวร์ยังมีการใช้คำสั่งที่มีอยู่แล้วบนระบบปฏิบัติการ (Native Command) ในการขโมยข้อมูลบน Clipboard และหลีกเลี่ยงการตรวจจับไปในตัว

นอกจากนั้น ยังมีการนำเอาระบบหลบเลี่ยงการตรวจจับ เช่น ระบบต่อต้านการใช้งานบนสภาพแวดล้อมจำลอง และต่อต้านการทำงานบนระบบ Sandbox เพื่อหลีกเลี่ยงการถูกวิเคราะห์ และตรวจจับโดยเครื่องมือต่อต้านมัลแวร์ และผู้เชี่ยวชาญด้านมัลแวร์อีกด้วย

นอกจากนั้น ทางแหล่งข่าวยังให้วิธีการสังเกต การทำงานของระบบเครือข่ายบนเครื่องว่า ถ้ามีการติดต่อกับโดเมน หรือ หมายเลข IP เหล่านี้นั้น เครื่องที่ใช้งานอาจติดมัลแวร์ดังกล่าวเป็นที่เรียบร้อยแล้ว โดยรายละเอียดนั้นมีดังนี้

• Domain: alchemy-api-v3[.]cloud
• Domain: chainlink-api-v3[.]cloud
• Domain: moralis-api-v3[.]cloud
• Domain: modilus[.]io
• IP Address: 116[.]202.208.125
• IP Address: 65[.]108.122.31
• IP Address: 194[.]164.234.151
• IP Address: 135[.]181.123.177
• IP Address: 188[.]116.26.84
• IP Address: 65[.]21.23.63
• IP Address: 95[.]216.227.188