แคมเปญ Phishing ใหญ่ระดับโลก หลอกแพร่กระจายมัลแวร์ UpCrypter เพื่อฝังมัลแวร์ RAT หลากชนิด

วิธีการหลอกลวงเพื่อฝังมัลแวร์ที่เป็นที่นิยมมากที่สุดคงจะหนีไม่พ้นการหลอกลวงในรูปแบบ Phishing ซึ่งมักจะเป็นการหลอกลวงด้วยอีเมลปลอม, เอกสารปลอม, สายเรียกเข้าปลอม ให้เหยื่อหลงเชื่อทำตามจนดาวน์โหลดมัลแวร์ ที่ถึงแม้จะดูขั้นตอนเรียบง่าย แต่ก็มีแนวทางการหลอกลวงที่หลากหลาย เพื่อฝังมัลแวร์หลากรูปแบบหลายสายพันธุ์

จากรายงานโดยเว็บไซต์ SC World ได้กล่าวถึงการตรวจพบแคมเปญ Phishing ตัวใหม่ซึ่งถูกใช้ในการแพร่กระจายมัลแวร์ UpCrypter ซึ่งเป็นมัลแวร์ประเภทมัลแวร์นกต่อในการแพร่กระจายตัวอื่น (Dropper) ที่มีประสิทธิภาพในการใช้เป็นตัวกลางในการฝังมัลแวร์ประเภทเข้าควบคุมเครื่องจากทางไกล (RAT หรือ Remote Access Trojan) มากมายหลายตัว ไม่ว่าจะเป็น PureHVNC, DCRat และ Babylon RAT โดยการตรวจพบแคมเปญ และมัลแวร์ดังกล่าวนั้นเป็นผลงานของทีมวิจัย FortiGuard ซึ่งเป็นหน่วยงานย่อยของทางบริษัทผู้พัฒนาโซลูชันด้านความปลอดภัยไซเบอร์ระดับองค์กร FortiNet โดยทางทีมวิจัยได้ทำการเผยแพร่บทความวิจัยเกี่ยวกับการค้นพบมัลแวร์ดังกล่าวในช่วงเดือนสิงหาคมที่ผ่านมาบนบล็อกอย่างเป็นทางการของหน่วยงาน

ซึ่งเนื้อหาของบล็อกได้ระบุถึงวิธีการแพร่กระจายมัลแวร์ดังกล่าวที่ดูเรียบง่าย นั่นคือ การใช้อีเมลที่มีการปลอมแปลงให้เหมือนกับว่ามาจากหน่วยงาน องค์กร หรือบุคคลที่มีความน่าเชื่อถือพร้อมแนบลิงก์เว็บไซต์ปลอมที่แฮกเกอร์สร้างขึ้นมา ส่งไปยังเหยื่อที่เป็นเป้าหมาย ซึ่งองค์ประกอบทุกอย่างไม่ว่าจะเป็นตัวอีเมล และหน้าเพจปลายทาง (Landing Page) ต่างถูกสร้างขึ้นมาให้เข้ากับเป้าหมาย (Personalized) เพื่อสร้างความน่าเชื่อถือและทำให้เป้าหมายลดความเอะใจลง จนนำไปสู่การเข้าสู่เว็บไซต์ดังกล่าว และติดตั้งมัลแวร์ตามที่ถูกหลอกในที่สุด

ในส่วนของตัวมัลแวร์นั้นเรียกได้ว่ามีศักยภาพการทำงานที่ร้ายกาจพอสมควร เช่น การที่มีระบบต่อต้านการถูกตรวจจับโดยเครื่องมือรักษาความปลอดภัยไซเบอร์ที่เข้มแข็ง โดยเริ่มตั้งแต่การใช้โค้ดที่ถูกออกแบบมาเพื่อตีรวนระบบตรวจจับ หรือ ที่เรียกว่าวิธีการ Obfuscation ด้วยการใส่โค้ดขยะ (Junk Code) เพื่อปกปิดตัวโค้ดที่แท้จริงเป็นจำนวนมาก ตามมาด้วยระบบต่อต้านการถูกกักตัวหรือใช้งานบนเครื่องมือทดลองสภาพแวดล้อมการใช้งาน เช่น เครื่องมือในการตรวจสอบระบบหลังติดมัลแวร์ (Forensic Tools), เครื่องมือสำหรับการดีบั๊ก (Debugger), และเครื่องมือจำลองระบบ (Virtual Machine) เช่น any.run หรือ Wireshark โดยตัวมัลแวร์จะสั่งการสแกนเครื่องมือเหล่านี้ก่อนการใช้งาน และถ้ามีการตรวจพบก็จะสั่งรีสตาร์ทเครื่องในทันทีหลังตรวจพบ เพื่อที่จะใช้เทคนิคการรันบนหน่วยความจำโดยตรง (In-Memory Execution) ซึ่งเป็นเทคนิคยอดนิยมของมัลแวร์ในการเลี่ยงการถูกตรวจจับและกักตัวโดยเครื่องมือดังกล่าวด้วยการใช้โค้ด PowerShell และ .NET Reflection

นอกจากความสามารถในการเลี่ยงการถูกตรวจจับแล้ว ตัวมัลแวร์ยังมีความสามารถในการคงทนอยู่ในระบบของเหยื่อ (Persistant) ที่ไม่เพียงแต่จะสามารถคงทนอยู่บนระบบ (System) ของเหยื่อเท่านั้น แต่ยังสามารถคงอยู่บนเครือข่าย (Network) ภายในองค์กรของเหยื่อได้อีกส่ง ซึ่งจะส่งผลให้แฮกเกอร์สามารถทำการปฏิบัติการส่งมัลแวร์ (Payload) ตัวอื่น ๆ ลงมาเพื่อควบคุมหรือขโมยข้อมูลบนระบบได้เรื่อย ๆ อันจะนำไปสู่การสูญเสียหรือถูกขโมยข้อมูลในระยะยาว โดยทีมวิจัยระบุว่า ความสามารถดังกล่าวนั้นเป็นสิ่งที่ทางทีมวิจัยให้ความกังวลสูงสุดสำหรับตัวมัลแวร์ตัวนี้

ปัจจุบันมัลแวร์ UpCrypter กำลังระบาดอย่างหนักในพื้นที่แถบทวีปเอเชีย, เอเชียใต้, ยุโรป, แอฟริกา, อเมริกาเหนือ และ อเมริกาใต้ ซึ่งเรียกได้ว่าครอบคลุมเกือบทั้งโลก โดยการโจมตีจะมุ่งเน้นไปยังกลุ่มธุรกิจหลากประเภทเช่น ภาคการผลิต, เทคโนโลยี, อุตสาหกรรมด้านสุขภาพและการแพทย์, อุตสาหกรรมการก่อสร้าง, ค้าปลีก, และ กลุ่มอุตสาหกรรมบริการ โดยในช่วงกลางถึงปลายเดือนสิงหาคมที่ผ่านมานั้นทางทีมวิจัยระบุว่า แคมเปญที่เกี่ยวเนื่องกับมัลแวร์ดังกล่าวนั้นมีจำนวนมากขึ้น 2 เท่า ในเวลาเพียงแค่ 2 สัปดาห์เท่านั้น เรียกได้ว่าเป็นแคมเปญที่ใหญ่ มุ่งเน้นการโจมตีกลุ่มอุตสาหกรรมทั่วโลก ที่กลุ่มธุรกิจ-อุตสาหกรรมต่าง ๆ ต้องให้ความสนใจและให้ความระมัดระวัง