มัลแวร์ Chihuahua Stealer ตัวใหม่มาแล้ว มุ่งเน้นขโมยข้อมูลจากเว็บเบราว์เซอร์ และกระเป๋าเงินคริปโต

ชิวาว่า (Chihuahua) อาจเป็นชื่อของสุนัขพันธุ์น่ารักของผู้อ่านหลาย ๆ คน แต่ตอนนี้ได้กลายมาเป็นชื่อของมัลแวร์ที่น่ากังวลตัวหนึ่งเป็นที่เรียบร้อยแล้ว เพราะเป็นมัลแวร์ในประเภทที่มีความสามารถในการขโมยข้อมูล (Infostealer) ที่ร้ายกาจตัวหนึ่งเลยทีเดียว

จากรายงานโดยเว็บไซต์ Infosecurity Magazine ได้กล่าวถึงการตรวจพบมัลแวร์ Chihuahua Stealer ซึ่งเป็นมัลแวร์ประเภท Infostealer ตัวใหม่โดยกลุ่มผู้ใช้งานเว็บบอร์ด Reddit และถูกวิเคราะห์ต่อโดยทีมวิจัยจาก G Data CyberDefense บริษัทผู้เชี่ยวชาญด้านการสร้างเครื่องมือแอนตี้ไวรัส ซึ่งจากแหล่งข่าวนั้นระบุว่าผู้ใช้งาน Reddit นั้นถูกหลอกให้รันไฟล์ขึ้นมาเพื่อติดมัลแวร์ลงเครื่อง ซึ่งทางทีมวิจัยได้เผยว่าไฟล์ดังกล่าวนั้นเป็นสคริปท์ในรูปแบบ PowerShell ของมัลแวร์นกต่อ หรือ Loader ในการนำไปสู่การติดตั้งมัลแวร์แบบหลากชั้นหลายขั้นตอน (Multi-Stage) ที่มีความซับซ้อน โดยขั้นตอนการทำงานนั้นจะเป็นไปตามนี้

1. หลังจากที่เหยื่อทำการรันไฟล์ขึ้นมา จะนำไปสู่การรันสคริปท์ PowerShell ที่ถูกเข้ารหัสในรูปแบบ Based-64 เอาไว้ผ่านทางค่า String ที่มีค่าคือ iex ที่จะช่วยให้ตัวมัลแวร์นั้นสามารถเล็ดลอด (Bypassing) ระบบป้องกันต่าง ๆ ไม่ว่าจะเป็น นโยบายการรันไฟล์ (Execution Policy), การหลบเลี่ยงการตรวจจับลักษณะการทำงานเฉพาะตัวของมัลแวร์ (Signature-based Detection), และ ระบบสแกนโค้ดแบบค่าคงที่ (Static Analysis)
2. หลังจากนั้นตัวมัลแวร์นกต่อ (Loader) จะทำหน้าที่ในการถอดรหัส (Decode) และประกอบตัวมัลแวร์ (Payload) จากโค้ดที่ถูกสร้างขึ้นมาในรูปแบบเพื่อการตีรวนระบบ (Obfuscation) ซึ่งอยู่ในรูปแบบ Hex ด้วยการแปลงโค้ด Hex ให้เป็นแบบ ASCII ซึ่งการรวมโค้ดให้เป็นไฟล์ในรูปแบบไม่คงที่ (Dynamic) นั้นทำให้สามารถหลีกเลี่ยงการตรวจจับในรูปแบบ Static Analysis และการวิเคราะห์ด้วยการสร้างสภาวะจำลอง (Sandbox) ได้
3. จากนั้นตัวสคริปท์ก็จะทำการฝังตัวเองลงสู่ระบบเพื่อรับประกันว่ามัลแวร์จะทำงานได้ตลอดเวลา (Persistence) โดยตั้งค่าการทำงานว่า ถ้ามีการสแกนเจอไฟล์ติดเชื้อ (Infection Marker) ที่ถูกระบุไว้ที่มีสกุลไฟล์ว่า "*.normaldaki" ก็จะมีการสั่งการอย่างอัตโนมัติกลับไปยังเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) เพื่อดาวน์โหลด Payload ตัวใหม่ลงมาติดตั้งในทันที
4. โดยตัว Payload เหล่านั้น ยังมีการเก็บไว้หลายที่ เช่น ตัว Payload แบบ .NET Assembly จะถูกเก็บไว้ในเซิร์ฟเวอร์อีกที่หนึ่ง ขณะที่ไฟล์ Payload อีกส่วนซึ่งเป็นไฟล์ที่ถูกเข้ารหัสเพื่อตีรวนระบบแบบ Based-64 จะถูกดาวน์โหลดลงมาจาก OneDrive ซึ่งทั้ง 2 ส่วนจะนำมารันเพื่อทำการฝังตัวลงในส่วนหน่วยความจำ และตัวมัลแวร์ก็จะทำการลบกลบร่องรอยทั้งหมดเพื่อป้องกันการถูกวิเคราะห์โดยเครื่องมือและผู้เชี่ยวชาญ

นอกจากนั้น ทางทีมวิจัยยังได้เปิดเผยอีกว่า ตัวมัลแวร์นั้นหลังจากที่ถูกรันด้วยฟังก์ชัน DedMaxim() ขึ้นมาแล้ว ข้อมูลภายในกลับปรากฏให้เป็นเนื้อเพลงแร็ปในภาษารัสเซียบน Console โดยเนื้อเพลงนั้นจะมีช่องว่างที่สามารถสังเกตได้อยู่ในแต่ละบรรทัด ซึ่งทางทีมวิจัยเชื่อว่าช่องว่างเหล่านั้นเป็นเพียงลักษณะจำเพาะ (Signature) ไม่ได้มีไว้เพื่อการทำงานของตัวมัลแวร์แต่อย่างใด หลังจากนั้นตัวมัลแวร์จะทำการรันตรรกะ (Logic) หลักที่อยู่ในฟังก์ชัน PopilLina() ขึ้นมาเพื่อเก็บข้อมูลต่าง ๆ ของเครื่อง เช่น ชื่อเครื่อง และหมายเลขซีเรียลของไดร์ฟต่าง ๆ ที่อยู่บนเครื่องผ่านทางเครื่องมือ Windows Management Instrumentation (WMI) แล้วจึงทำการตีรวนระบบ (Obfuscation) แล้วทำการ Hash เพื่อสร้างเลขประจำตัวเครื่องที่ติดเชื้อมัลแวร์ ซึ่งจะเป็นเลขที่ถูกฝังอยู่ในโฟลเดอร์สำหรับการส่งไฟล์ (Exfiltration) ออกจากเครื่อง ทำให้แฮกเกอร์สามารถระบุได้ว่า ไฟล์ต่าง ๆ นั้นมาจากเครื่องไหน

หลังจากนั้นมัลแวร์ก็จะทำการค้นหาและขโมยข้อมูลสำคัญต่าง ๆ เช่น ข้อมูลต่าง ๆ บนเว็บเบราว์เซอร์ และ ข้อมูลที่เกี่ยวข้องกับกระเป๋าเก็บเงินคริปโตเคอร์เรนซี โดยใช้ฟังก์ชันในการสแกนโฟลเดอร์แบบ Dynamic ที่สามารถผันแปรตามชื่อผู้ใช้งาน (Username) ต่าง ๆ บนเครื่องได้ ซึ่งข้อมูลที่ถูกเพ่งเล็งนั้นก็มีมากมาย ไม่ว่าจะเป็นไฟล์ Cookies, ข้อมูลแบบป้อนอัตโนมัติ (Autofill), ข้อมูลการเข้าเว็บไซต์ต่าง ๆ, ข้อมูลการชำระเงิน และข้อมูลที่อยู่บนส่วนเสริม (Extension) ที่เป็นกระเป๋าเงินคริปโตที่อยู่บนเว็บเบราว์เซอร์ต่าง ๆ หลังจากนั้นตัวมัลแวร์จะทำการส่งข้อมูลต่าง ๆ ไปบนไฟล์ Brutan.txt ซึ่งเป็นข้อมูลในรูปแบบข้อความธรรมดา (Plaintext) แล้วจึงทำการบีบอัดข้อมูลเป็นไฟล์นามสกุล .chihuahua หลังจากนั้นจึงทำการเข้ารหัสในรูปแบบ AES-GCM ออกมาเป็นไฟล์นามสกุล .VZ แล้วทำการส่งไฟล์ไปยังเซิร์ฟเวอร์ควบคุมที่ชื่อมี URL ว่า hxxps://flowers[.]hold-me-finger[.]xyz/index2[.]php หลังจากนั้นตัวมัลแวร์จะทำการลบร่องรอยการทำงานทั้งหมดที่เกิดขึ้นบนเครื่องเพื่อป้องกันการถูกสืบค้นภายหลัง

สำหรับวิธีแก้ไขโดยตรงนั้นยังไม่มี ทางทีมวิจัยแนะนำเพียงให้ตรวจสอบการทำงานของ PowerShell ที่ผิดปกติต่าง ๆ บน PoweShell Log รวมไปถึงการตรวจสอบหาไฟล์ที่ผิดปกติบนโฟลเดอร์ Recent หรือ Temp เพื่อแก้ไขเบื้องต้นไปพลางก่อน