ในช่วงเวลาที่ผ่านมา ผู้อ่านหลายรายอาจจะได้เห็นถึงการที่แอปพลิเคชันง่าย ๆ ยอดนิยมอย่าง WinRAR ที่เหมือนจะไม่มีอะไร กลับปรากฎช่องโหว่ร้ายแรงที่แฮกเกอร์สามารถนำไปใช้ได้จำนวนมาก และในครั้งนี้ก็เป็นการนำเอาหนึ่งในช่องโหว่เหล่านั้นมาใช้งานจริง
จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบแคมเปญใหม่ของแฮกเกอร์จากประเทศจากรัสเซียที่มีชื่อกลุ่มว่า Paper Werewolf (หรือเป็นที่รู้จักกันในอีกชื่อหนึ่งว่า GOFFEE) ในการแพร่กระจายมัลแวร์ที่ไม่ระบุชื่อ โดยการอาศัยช่องโหว่ความปลอดภัยของ WinRAR หมายเลขรหัส CVE-2025-6218 ซึ่งเป็นช่องโหว่บน WinRAR เวอร์ชัน 7.1 หรือเก่ากว่า ซึ่งช่องโหว่ดังกล่าวนั้นเป็นช่องโหว่ที่ทำให้แฮกเกอร์สามารถใช้สคริปท์ภายในไฟล์บีบอัดในการเปลี่ยนโฟลเดอร์เป้าหมายในการคลายไฟล์ลงไป หรือที่เรียกว่าการทำ Directory Traversal ทำให้แฮกเกอร์สามารถสั่งการให้ไฟล์มัลแวร์ถูกคลายไปบนโฟลเดอร์ระบบได้โดยตรง แทนที่ถูกคลายไปยังโฟลเดอร์ที่เหยื่อทำการตั้งค่าไว้
นอกจากนั้นยังมีรายงานอีกว่า แฮกเกอร์ก็ได้มีการใช้งานช่องโหว่ที่เกิดขึ้นระหว่างการพัฒนาซอฟต์แวร์ หรือ ช่องโหว่แบบ Zero-Day อีกตัวหนึ่งบน WinRAR เวอร์ชัน 7.12 ซึ่งช่องโหว่ดังกล่าวนั้นเปิดโอกาสให้แฮกเกอร์ใช้งานคุณสมบัติ Alternative Data Streams (ADS) หรือ คุณสมบัติในการให้ตัวข้อมูลสามารถทำงานกับไฟล์ที่ถูกซ่อนอยู่ได้ เพื่อนำมาใช้เขียนไฟล์มัลแวร์ (Payload) ลงไปบนโฟลเดอร์ระบบโดยตรงระหว่างที่ทำการคลายไฟล์ออก
สำหรับแคมเปญนี้ แฮกเกอร์จะใช้วิธีการหลอกลวงเหยื่อด้วยวิธีการ Phishing ด้วยการอ้างตัวว่าเป็นตัวแทน หรือเจ้าหน้าที่ระดับสูงจากสถาบันด้านการวิจัย หรือสถาบันด้านการค้าจากประเทศรัสเซีย ซึ่งแฮกเกอร์มักจะส่งมาจากบัญชีอีเมลของเจ้าหน้าที่ที่โดนแฮก ทำให้จับผิดได้ยาก โดยจะส่งไฟล์แนบเป็นไฟล์บีบอัดแบบ Zip แฝงมัลแวร์ อ้างว่าเป็นจดหมายโต้ตอบของหน่วยงานราชการ นอกจากการส่งไฟล์แนบแล้ว ทางทีมแฮกเกอร์ยังได้มีการติดตามผล (Tracking) ด้วยการใช้เครื่องมือติดตามที่แฝงตัวในรูปแบบภาพขนาดเล็กเพียง 1x1 Pixel เพื่อตรวจว่าเหยื่อได้เปิดอ่านอีเมลหรือไม่ อีกด้วย ซึ่งแคมเปญดังกล่าวนี้ถูกตรวจพบโดยทีมวิจัยจาก BI.Zone บริษัทด้านการจัดการความเสี่ยงเชิงดิจิตอลจากประเทศรัสเซีย โดยทางทีมวิจัยได้กล่าวว่า แฮกเกอร์นั้นใช้วิธีการแบบวิศวกรรมทางสังคม (Social Engineering) ที่แนบเนียนมากจนเหยื่ออาจไม่เอะใจ พอรู้ตัวก็ตกเป็นเหยื่อไปแล้ว
ภาพจาก : https://cybersecuritynews.com/paper-werewolf-exploiting-winrar-zero%E2%80%91day/
ตัวมัลแวร์ (ที่ไม่ได้มีการให้ชื่อไว้) นั้นยังมีความสามารถในการทำงานที่หลากหลาย ตั้งแต่การเข้าสู่ระบบของเหยื่อด้วยระบบการติดตั้งแบบหลายชั้น (Multi-Stage Infection) ซึ่งจะเกิดขึ้นหลังจากที่เหยื่อทำการเปิดไฟล์ Zip และ Payload ได้ถูกปล่อยลงโฟลเดอร์ระบบของเหยื่อเป็นที่เรียบร้อยแล้ว ขั้นตอนถัดมาตัวมัลแวร์จะทำการดึงส่วนประกอบ (Components) 2 ตัวสำคัญลงมา นั่นคือ
ตัวส่วนประกอบมัลแวร์ทั้ง 2 นี้มีจุดร่วมกันนั่นคือ จะมีการวางไฟล์สำหรับรัน (Executable File) และทางลัด (Shortcut) ไว้บนโฟลเดอร์ Startup ที่ตั้งอยู่ที่ %APPDATA%MicrosoftWindowsStart MenuProgramsStartup เพื่อรับประกันว่ามัลแวร์จะทำการรันตัวเองขึ้นมาทุกครั้งที่เปิดเครื่องอย่างอัตโนมัติ
|