มัลแวร์ GodRAT ใช้ไฟล์ Screen Saver ปลอม ลักลอบเข้าฝังตัวระบบระดับองค์กร

คำว่า God หรือ พระเจ้า อาจเป็นคำที่นำมาซึ่งความอุ่นใจ หรือความเกรงขามในสถานการณ์ที่ต่างกันออกไป แต่ถ้าคำนี้กลายเป็นชื่อของมัลแวร์ ความรู้สึกอาจกลายเป็นความระแวง และหวาดกลัวแทน

จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบแคมเปญการแพร่กระจายมัลแวร์ประเภทเข้าควบคุมเครื่องเหยื่อจากระยะไกล หรือ RAT (Remote Access Trojan) ที่มีชื่อว่า GodRAT โดยทีมวิจัยจาก Securelist ซึ่งเป็นหน่วยงานย่อยของบริษัทผู้พัฒนาแอนตี้ไวรัสชื่อดัง Kaspersky โดยทางทีมวิจัยได้เผยว่าการระบาดในระลอกนี้ซึ่งเกิดขึ้นในเดือนสิงหาคมที่ผ่านมานั้น ไม่ใช่ครั้งแรก เนื่องจากมีการตรวจพบแคมเปญการปล่อยมัลแวร์ตัวดังกล่าวเป็นครั้งแรกตั้งแต่ช่วยเดือนกันยายน ค.ศ. 2024 (พ.ศ. 2567) โดยการระบาดในระลอกล่าสุดนั้นจะมุ่งเน้นการโจมตีเหยื่อในระดับองค์กรด้วยการเพ่งเล็งการโจมตีไปยังกลุ่มบริษัทการเงินเป็นพิเศษ ผ่านทางช่องทางแพร่กระจายที่หลากหลาย ที่น่าสนใจคือทางแหล่งข่าวมีการระบุว่ามีการแพร่กระจายผ่านทางแอปพลิเคชันแชทที่ถูกเลิกใช้งานในระดับบุคคล และกำลังทยอยเลิกใช้งานในระดับองค์กรอย่าง Skype อยู่ด้วย

ซึ่งวิธีการลักลอบเข้าสู่เครื่องของเป้าหมายนั้น ตัวมัลแวร์จะใช้ไฟล์ในรูปแบบไฟล์สำหรับการติดตั้งภาพเคลื่อนไหวพักหน้าจอ หรือ Screen Saver นามสกุล .Scr และไฟล์ในนามสกุล .Pif (Program Information File) โดยทำการปลอมไฟล์ให้ดูเหมือนว่าเป็นไฟล์เอกสารการเงินจริง ๆ เพื่อหลอกเหยื่อที่รับไฟล์ดังกล่าว นอกจากนั้นทางทีมวิจัยยังระบุว่า ตัวไฟล์ยังได้มีการใช้เทคนิคในการอำพรางข้อมูลในระดับสูง (Advanced Steganographic Techniques) ด้วยการแอบแทรก ShellCode ไว้ภายในไฟล์รูปภาพที่ดูไม่มีพิษมีภัยเพื่อพรางตัวเองจากระบบตรวจจับ

โดยในการทำงานเชิงลึกของมัลแวร์ตัวนี้นั้นเรียกได้ว่าซับซ้อนมาก เพราะตัวมัลแวร์นกต่อ (Loader) ตัวมัลแวร์จะใช้เทคนิคสถาปัตยกรรม Loader แบบ ShellCode ในรูปแบบ 2 ชั้น (Two-Stage ShellCode Loader Architecture) ซึ่งตัว Loader ที่ทำงานในขั้นที่ 2 นั้นจะทำหน้าที่เป็นเครื่องมือในการถอดรหัส ShellCode ที่ถูกฝังอยู่บนรูปภาพ (ที่ปลอมตัวเป็นเหมือนภาพเอกสารด้านการเงิน) ด้วยเทคนิคอำพรางข้อมูลผ่านการแทรกไบต์ (Byte) ของตัวโค้ดลงไปในรูปภาพ ทำให้ภายนอกเหมือนกับรูปภาพปกติโดยที่ภายในมีตัวโค้ดซ่อนอยู่

ซึ่งขั้นตอนการถอดรหัสนั้น ตัว Loader ที่เป็นไฟล์ DLL ชื่อว่า “SDL2.dll” จะทำหน้าที่คลายไฟล์ด้วยการจองพื้นที่ของหน่วยความจำ, ทำการคัดลอก Byte ของมัลแวร์ลงไปยังหน่วยความจำ, แล้วจัดการรันบนหน่วยความจำเพื่อหลบเลี่ยงการตรวจจับ หลังจากรันเสร็จเรียบร้อย ตัวมัลแวร์จะทำการค้นหาหมุดบอก (Marker) ของข้อมูลการตั้งค่าที่มีชื่อว่า “godinfo” แล้วทำมาถอดรหัสด้วยเทคนิคถอดรหัส XOR แบบไบต์เดียว (Single-Byte XOR Decoding) ด้วยการใช้กุญแจ 0x63 โดยข้อมูลการตั้งค่าที่ถูกถอดรหัสออกมานั้นล้วนแต่เป็นข้อมูลสำคัญทั้งสิ้น เช่น ชื่อโดเมนของเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) และ ค่าสตริงของคำสั่งในการสั่งการมัลแวร์

จากนั้นตัวมัลแวร์จะทำการติดต่อกับเซิร์ฟเวอร์ C2 และเพื่อเพิ่มความปลอดภัยในการติดต่อ การยืนยันตัวตนนั้น ตัวเซิร์ฟเวอร์ต้องได้รับการส่งค่าสตริง “GETGOD” ซึ่งเป็นสตริงในการยืนยันตัวตนจากตัวมัลแวร์ เพื่อนำไปสู่ขั้นตอนในการดาวน์โหลดไฟล์มัลแวร์ (Payload) เพิ่มเติม เช่น ไฟล์ DLL ต่าง ๆ ที่ทำหน้าที่เป็นโมดูลของมัลแวร์ และ เครื่องมือสำหรับขโมยรหัสผ่านบนเว็บเบราว์เซอร์

สำหรับการแพร่ระบาดของมัลแวร์ตัวดังกล่าวในปัจจุบัน เรียกได้ว่ามีการแพร่กระจายในหลากพื้นที่ เช่น ฮ่องกง, สหรัฐอาหรับเอมิเรตต์ (UAE), มาเลเซีย, จอร์แดน, และ เลบานอน โดยการระบาดของมัลแวร์นั้นถูกตรวจจับได้ครั้งแรกในฮ่องกง แล้วจึงพบการแพร่กระจายไปยังแถบตะวันออกกลาง ทางทีมวิจัยยังระบุอีกว่า แคมเปญในการแพร่กระจายมัลแวร์นั้นมีการปรับตัวให้เข้ากับบริบทของธุรกิจ และภาษาที่ใช้ในท้องถิ่นนั้น ๆ ทำให้มีความแนบเนียนในการหลอกลวงเหยื่อปลายทางให้ดาวน์โหลด และติดตั้งมัลแวร์เป็นอย่างมาก