เมื่อพูดถึงคำว่า Bot ถ้าเป็นในวงการวิดีโอเกมออนไลน์หลายคนอาจจะรู้จักกันดีและอาจจะสนุกไปกับมันเนื่องจาก Bot จะทำงานเล่นแทนให้กับผู้ใช้งาน แต่ถ้าเป็นในด้านของความปลอดภัยไซเบอร์ อาจไม่สนุกแน่เพราะว่า Bot นั้นเป็นมัลแวร์ชนิดหนึ่งที่ทำให้เครื่องต้องตกเป็นทาสของแฮกเกอร์ หรือโดนแฮกเกอร์ที่ใช้งานขโมยข้อมูลได้
จากรายงานโดยเว็บไซต์ Infosecurity Magazine ได้กล่าวถึงการตรวจพบแคมเปญการปล่อยมัลแวร์ PS1Bot ซึ่งเป็นมัลแวร์ในตระกูล AHK Bot ตัวหนึ่งที่มีความสามารถในการขโมยข้อมูลที่สูง และความสามารถในการคงทนอยู่ในระบบได้อย่างยาวนาน ซึ่งในการแพร่กระจายมัลแวร์ดังกล่าวนั้นทางทีมวิจัยจาก Talos Cisco องค์กรย่อยของบริษัทผู้พัฒนาเครื่องมือด้านเครือข่ายอย่าง Cisco ได้ออกมาอธิบายว่า แฮกเกอร์ที่อยู่เบื้องหลังมัลแวร์ดังกล่าวนั้นได้ใช้วิธีการทำโฆษณาปลอมเพื่อแพร่กระจายมัลแวร์โดยเฉพาะ หรือ Malvertising ร่วมกับการใช้งานวิธีการดันหน้าเว็บไซต์ปลอมให้ผลการค้นหาขึ้นหน้าแรกด้วยวิธีการ SEO (Search Engine Optimization) นอกจากนั้น ถึงแม้หลักฐานต่าง ๆ จะไม่เพียงพอ ทางทีมวิจัยยังได้คาดการว่าแคมเปญนี้ถูกดำเนินการผ่านทางเครือข่ายมัลแวร์อย่าง Skitnet หรือ Bossnet
ซึ่งหลังจากที่เหยื่อได้เข้าสู่หน้าเว็บไซต์ปลอมแล้วไม่ว่าจะจากทางใด เหยื่อจะโดนหลอกให้ดาวน์โหลดไฟล์บีบอัด (Compressed File) ที่ภายในนั้นมีไฟล์ในรูปแบบ JavaScript ที่มีชื่อว่า “FULL DOCUMENT.js” ที่มีการฝัง (Embedded) สคริปท์แบบ VBScript ไว้อีกที โดยหลังจากที่รันไฟล์ดังกล่าวขึ้นมาแล้ว ก็จะนำไปการดาวน์โหลดสคริปท์ PowerShell มารันเพื่อติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) เพื่อดาวน์โหลดโมดูล (Module) ต่าง ๆ ของมัลแวร์ลงมาทำการรันบนหน่วยความจำโดยตรง (In-Memory Execution) ทำให้การตรวจจับ และตรวจสอบทำได้ยาก
โดยมัลแวร์ PS1Bot นั้นมีความสามารถที่สูงมาก ตั้งแต่ระบบการต่อต้านการถูกตรวจจับโดยแอนตี้ไวรัส, การลักลอบบันทึกหน้าจอ, การขโมยข้อมูลจากกระเป๋าเงินคริปโตเคอร์เรนซี, ระบบตรวจจับการพิมพ์ของเหยื่อ, ระบบขโมยข้อมูลบน Clipboard, ฟีเจอร์เก็บข้อมูลระบบของเหยื่อ, และฟีเจอร์ในการคงทนตัวเองอยู่ในระบบ (Persistence)
ซึ่งฟีเจอร์ และความสามารถเหล่านี้จะถูกแยกออกเป็นโมดูลต่าง ๆ แยกจากกัน แต่ทุกโมดูลนั้นหลังจากที่ปฏิบัติงานแล้วจะมีการรายงานอัปเดตให้กับทางแฮกเกอร์ผ่านทาง HTTP Request อย่างเช่นโมดูล “Grabber” ซึ่งใช้งานในการขโมยข้อมูลกระเป๋าเงินคริปโต และบนเว็บเบราว์เซอร์ ตัวโมดูลจะทำการค้นหาข้อมูล Seed Phrase (รหัสสำหรับการกู้กระเป๋าเงินคริปโต) และรหัสผ่านต่าง ๆ จากไดร์ฟของเหยื่อ แล้วทำการลักลอบส่งข้อมูลออก (Exfiltration) กลับไปด้วยโปรโตคอลดังกล่าว
นอกจากนั้น ในส่วนของโมดูลการบันทึกหน้าจอ (Screen Capture) นั้นยังถูกสร้างขึ้นบนภาษา C# ที่จะทำงานผ่าน C# Runtime ในการทำการบันทึกหน้าจอออกมาเป็นไฟล์ JPEG นำมาเข้ารหัส และส่งกลับไปยังเซิร์ฟเวอร์ C2 ในขณะที่โมดูลการจับการพิมพ์ (Keylogger) จะใช้งาน Windows API Hook ในการจับการพิมพ์คีย์บอร์ด และการใช้งานเมาส์ ไปพร้อมกับการดักจับข้อมูลที่อยู่บน Clipboard และท้ายสุดสำหรับการสร้าง Persistence ในระบบนั้น ตัวโมดูลจะสร้างสคริปท์ PoweShell และทางลัด (Shortcut) เพื่อให้มัลแวร์รันกลับมาใหม่ได้ผ่านทาง Startup
|