ซอฟต์แวร์
แอปพลิเคชันบนมือถือ
เช็คความเร็วเน็ต (Speedtest)
เช็คไอพี (Check IP)
เช็คเลขพัสดุ
สุ่มออนไลน์
เครื่องมือคำนวณวันออนไลน์
แฮกเกอร์ใช้โฆษณาปลอม และ SEO สายดาร์ก ปล่อยมัลแวร์ PS1Bot สู่เครื่องของเหยื่อ
Sarun_ss777
เมื่อพูดถึงคำว่า Bot ถ้าเป็นในวงการวิดีโอเกมออนไลน์หลายคนอาจจะรู้จักกันดีและอาจจะสนุกไปกับมันเนื่องจาก Bot จะทำงานเล่นแทนให้กับผู้ใช้งาน แต่ถ้าเป็นในด้านของความปลอดภัยไซเบอร์ อาจไม่สนุกแน่เพราะว่า Bot นั้นเป็นมัลแวร์ชนิดหนึ่งที่ทำให้เครื่องต้องตกเป็นทาสของแฮกเกอร์ หรือโดนแฮกเกอร์ที่ใช้งานขโมยข้อมูลได้
จากรายงานโดยเว็บไซต์ Infosecurity Magazine ได้กล่าวถึงการตรวจพบแคมเปญการปล่อยมัลแวร์ PS1Bot ซึ่งเป็นมัลแวร์ในตระกูล AHK Bot ตัวหนึ่งที่มีความสามารถในการขโมยข้อมูลที่สูง และความสามารถในการคงทนอยู่ในระบบได้อย่างยาวนาน ซึ่งในการแพร่กระจายมัลแวร์ดังกล่าวนั้นทางทีมวิจัยจาก Talos Cisco องค์กรย่อยของบริษัทผู้พัฒนาเครื่องมือด้านเครือข่ายอย่าง Cisco ได้ออกมาอธิบายว่า แฮกเกอร์ที่อยู่เบื้องหลังมัลแวร์ดังกล่าวนั้นได้ใช้วิธีการทำโฆษณาปลอมเพื่อแพร่กระจายมัลแวร์โดยเฉพาะ หรือ Malvertising ร่วมกับการใช้งานวิธีการดันหน้าเว็บไซต์ปลอมให้ผลการค้นหาขึ้นหน้าแรกด้วยวิธีการ SEO (Search Engine Optimization) นอกจากนั้น ถึงแม้หลักฐานต่าง ๆ จะไม่เพียงพอ ทางทีมวิจัยยังได้คาดการว่าแคมเปญนี้ถูกดำเนินการผ่านทางเครือข่ายมัลแวร์อย่าง Skitnet หรือ Bossnet
- แก๊งแรนซัมแวร์ LunaLock ขู่แพลตฟอร์มขายงานศิลปะจะเอาผลงานศิลป์เผยแพร่แบบสาธารณะถ้าไม่จ่ายเงิน
- พัฒนาการใหม่ของ Android Dropper สามารถปล่อยมัลแวร์ขโมย SMS และสปายแวร์ ลงอุปกรณ์ Android ได้แล้ว
- พบมัลแวร์ TamperedChef ปลอมตัวเป็นแอป PDF ปลอม ลอบเข้าเครื่องขโมยรหัสผ่าน
- พบมัลแวร์ GONEPOSTAL มีความสามารถในการลอบใช้งาน Outlook เป็นตัวกลางในการแลกเปลี่ยนข้อมูล กับเซิร์ฟเวอร์
- มัลแวร์ Brokewell กลับมาอีกครั้ง โจมตีผู้ใช้งาน Android ผ่านทางโฆษณาปลอมบน Facebook
ซึ่งหลังจากที่เหยื่อได้เข้าสู่หน้าเว็บไซต์ปลอมแล้วไม่ว่าจะจากทางใด เหยื่อจะโดนหลอกให้ดาวน์โหลดไฟล์บีบอัด (Compressed File) ที่ภายในนั้นมีไฟล์ในรูปแบบ JavaScript ที่มีชื่อว่า “FULL DOCUMENT.js” ที่มีการฝัง (Embedded) สคริปท์แบบ VBScript ไว้อีกที โดยหลังจากที่รันไฟล์ดังกล่าวขึ้นมาแล้ว ก็จะนำไปการดาวน์โหลดสคริปท์ PowerShell มารันเพื่อติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) เพื่อดาวน์โหลดโมดูล (Module) ต่าง ๆ ของมัลแวร์ลงมาทำการรันบนหน่วยความจำโดยตรง (In-Memory Execution) ทำให้การตรวจจับ และตรวจสอบทำได้ยาก
โดยมัลแวร์ PS1Bot นั้นมีความสามารถที่สูงมาก ตั้งแต่ระบบการต่อต้านการถูกตรวจจับโดยแอนตี้ไวรัส, การลักลอบบันทึกหน้าจอ, การขโมยข้อมูลจากกระเป๋าเงินคริปโตเคอร์เรนซี, ระบบตรวจจับการพิมพ์ของเหยื่อ, ระบบขโมยข้อมูลบน Clipboard, ฟีเจอร์เก็บข้อมูลระบบของเหยื่อ, และฟีเจอร์ในการคงทนตัวเองอยู่ในระบบ (Persistence)
ซึ่งฟีเจอร์ และความสามารถเหล่านี้จะถูกแยกออกเป็นโมดูลต่าง ๆ แยกจากกัน แต่ทุกโมดูลนั้นหลังจากที่ปฏิบัติงานแล้วจะมีการรายงานอัปเดตให้กับทางแฮกเกอร์ผ่านทาง HTTP Request อย่างเช่นโมดูล “Grabber” ซึ่งใช้งานในการขโมยข้อมูลกระเป๋าเงินคริปโต และบนเว็บเบราว์เซอร์ ตัวโมดูลจะทำการค้นหาข้อมูล Seed Phrase (รหัสสำหรับการกู้กระเป๋าเงินคริปโต) และรหัสผ่านต่าง ๆ จากไดร์ฟของเหยื่อ แล้วทำการลักลอบส่งข้อมูลออก (Exfiltration) กลับไปด้วยโปรโตคอลดังกล่าว
นอกจากนั้น ในส่วนของโมดูลการบันทึกหน้าจอ (Screen Capture) นั้นยังถูกสร้างขึ้นบนภาษา C# ที่จะทำงานผ่าน C# Runtime ในการทำการบันทึกหน้าจอออกมาเป็นไฟล์ JPEG นำมาเข้ารหัส และส่งกลับไปยังเซิร์ฟเวอร์ C2 ในขณะที่โมดูลการจับการพิมพ์ (Keylogger) จะใช้งาน Windows API Hook ในการจับการพิมพ์คีย์บอร์ด และการใช้งานเมาส์ ไปพร้อมกับการดักจับข้อมูลที่อยู่บน Clipboard และท้ายสุดสำหรับการสร้าง Persistence ในระบบนั้น ตัวโมดูลจะสร้างสคริปท์ PoweShell และทางลัด (Shortcut) เพื่อให้มัลแวร์รันกลับมาใหม่ได้ผ่านทาง Startup
ที่มา : www.infosecurity-magazine.com
คำสำคัญ »
|
|
ข่าวไอทีที่เกี่ยวข้อง
แสดงความคิดเห็น
ข่าวไอทีแนะนำ
ข่าวประชาสัมพันธ์
Thaiware.com is owned and operated by Thaiware Communication Co., Ltd.