พบมัลแวร์ TamperedChef ปลอมตัวเป็นแอป PDF ปลอม ลอบเข้าเครื่องขโมยรหัสผ่าน

การปลอมตัวเป็นแอปพลิเคชันปลอมที่ดูไม่มีพิษมีภัยเพื่อให้มัลแวร์สามารถแทรกซึมลงบนระบบของเหยื่อนั้นเป็นวิธียอดนิยมเนื่องจากผู้ใช้งานมักจะไม่เอะใจถึงความผิดปกติใด ๆ อย่างเช่นในข่าวนี้

จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงรายงานของกลุ่มนักวิจัยจาก Truesec บริษัทผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ถึงการตรวจพบแคมเปญการแพร่กระจายมัลแวร์ TamperedChef บนระบบ Windows ด้วยการหลอกให้เหยื่อดาวน์โหลดแอปพลิเคชันจัดการไฟล์ PDF (PDF Editor) ปลอมที่มีชื่อว่า AppSuite PDF Editor, PDF OneStart และ PDF Editor ด้วยการใช้โฆษณาปลอมต่าง ๆ หลอกให้เหยื่อเข้าเว็บไซต์ปลอมที่มีการอวดอ้างต่าง ๆ เพื่อให้เหยื่อหลงกดดาวน์โหลดแอปพลิเคชันปลอมลงมาติดตั้ง ซึ่งหลังจากที่ดาวน์โหลดลงมาติดตั้ง ทุกอย่างก็เหมือนดูจะปกติดีเนื่องจากมีส่วนให้เหยื่อต้องตกลงเพื่อรับเงื่อนไขการใช้งาน รวมทั้งรับทราบนโยบายข้อมูลส่วนบุคคล เหมือนกับซอฟต์แวร์ปกติทั่วไป 

แต่ในระหว่างการติดตั้งนั้นเอง ทางทีมวิจัยจาก G Data บริษัทผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์จากประเทศเยอรมนีได้เปิดเผยว่า ตัวติดตั้งจะทำงาน 2 ด้าน ทั้งการส่ง Request แบบลับ ๆ กลับไปยังเซิร์ฟเวอร์เพื่อดาวน์โหลดเครื่องมือจัดการ PDF (ปลอม) ลงมา ในขณะเดียวกันก็มีการเข้าไปจัดการแก้ไข Windows Registry เพื่อรับประกันว่ามัลแวร์จะสามารถทำงานอยู่บนระบบได้ตลอดเวลา (Persistent) โดยมีการแทรก Argument --cm=--fullupdate บน Registry ไว้เพื่อให้ส่งคำสั่งไปยังไฟล์มัลแวร์เป้าหมาย เพื่อให้เกิดการทำงานอัตโนมัติ (Autorun) ทุกครั้งที่มีการเปิดเครื่องขึ้นมาใหม่

หลังจากที่มัลแวร์สามารถติดตั้งได้สำเร็จแล้ว ตัวมัลแวร์จะทำการเก็บข้อมูลของซอฟต์แวร์รักษาความปลอดภัยต่าง ๆ ที่ถูกติดตั้งไว้บนเครื่อง, ทำการปิดเว็บเบราว์เซอร์, และเก็บข้อมูลสำคัญต่าง ๆ ที่อยู่บนเครื่อง เช่น รหัสผ่านต่าง ๆ และ ไฟล์ Cookies นอกจากนั้นทางทีมวิจัยยังตรวจพบฟีเจอร์ประตูหลังของระบบ (Backdoor) ที่อำนวยความสะดวกให้แฮกเกอร์เข้าทำการควบคุมเครื่องของเหยื่อ เช่น

• --install ใช้ในการตั้งเวลาการทำงาน (Task Scheduling) ภายใต้ชื่อ PDFEditorScheduledTask และ PDFEditorUScheduledTask เพื่อใช้ในการรันมัลแวร์พร้อม Argument 2 ตัวนั่นคือ --cm=--partialupdate และ --cm=--backupupdate รวมไปถึงเป็นการตั้งเวลาให้มีการรันคำสั่ง Backdoor อย่าง --check และ --ping ให้มีการรันขึ้นมาอย่างสม่ำเสมอ
• --cleanup ใช้ในการทำลายหลักฐานด้วยการลบไฟล์ Backdoor ต่าง ๆ, ลบ Task ที่ถูกตั้งเวลาไว้, และถอนการลงทะเบียนของตัวเครื่องจากเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control)
• --ping ใช้ในการเริ่มต้นการติดต่อสื่อสารกับเซิร์ฟเวอร์ C2 เพื่อให้เริ่มทำงานในการรันมัลแวร์บนระบบ รวมไปถึงการดาวน์โหลดมัลแวร์เพิ่มเติม, การลักลอบส่งออกไฟล์ (Exfiltration) และการแก้ไข Registry
• --check ใช้ในการติดต่อกับเซิร์ฟเวอร์ C2 เพื่อขอการตั้งค่า (Configuration), การอ่านกุญแจ (Key) ของเบราว์เซอร์, ปรับเปลี่ยนการตั้งค่าของเบราว์เซอร์, การรันคำสั่งต่าง ๆ โดยที่เจ้าของเครื่องไม่อนุญาต เพื่อดูข้อมูล, ขโมยข้อมูล และจัดการบงการข้อมูล (Data Manipulation) บนเว็บเบราว์เซอร์ในตระกูล Chromium, OneLaunch, และ Wave Browsers ทั้งยังครอบคลุมไปถึงการขโมยข้อมูลอ่อนไหวต่าง ๆ เช่น รหัสผ่าน, Cookies, ประวัติการท่องเว็บไซต์ ไปจนถึง ข้อมูลการตั้งค่าบน Search Engine
• --reboot คล้ายคลึงกับ --check แต่มีความสามารถในการปิด Process เพิ่มขึ้นมา

สำหรับในส่วนของโฆษณาปลอมที่แฮกเกอร์ใช้งานนั้น ทางทีมวิจัยพบว่า มีการรันโฆษณาผ่านทางช่องทาง Google Ads โดยจากการตรวจสอบพบว่าโฆษณาจำนวนมากถูกใช้งานมาเป็นเวลา 56 วัน ก่อนที่จะทำการอัปเดตฟีเจอร์อันตรายลงบนมัลแวร์ที่ถูกติดตั้งไว้ โดยใกล้เคียงกับกรอบเวลาการปล่อยโฆษณาแบบ 60 วันที่เป็นมาตรฐานที่ใช้กันทั่วไปบน Google มาก ซึ่งทางทีมวิจัยคาดว่าเป็นการปล่อยโฆษณาเพื่อให้ได้ผู้ดาวน์โหลดมากที่สุดเท่าที่จะสามารถทำได้ก่อนที่จะทำการโจมตีแบบรวดเดียว