ซอฟต์แวร์
แอปพลิเคชันบนมือถือ
เช็คความเร็วเน็ต (Speedtest)
เช็คไอพี (Check IP)
เช็คเลขพัสดุ
สุ่มออนไลน์
เครื่องมือคำนวณวันออนไลน์
มาอีกแล้ว ! มัลแวร์ RatOn มีความสามารถขโมยเงินในธนาคารด้วยการสั่งจ่ายอัตโนมัติได้
Sarun_ss777
มัลแวร์ที่สามารถสร้างปัญหาให้กับเหยื่อได้อย่างชัดเจนอย่างเป็นรูปธรรม คงหนีไม่พ้นมัลแวร์ที่มีความสามารถในการดูดเงินจากบัญชีธนาคาร หรือแอปพลิเคชันคริปโตเคอร์เรนซี มัลแวร์ที่กำลังเป็นประเด็นก็มีความสามารถนี้เช่นเดียวกัน
จากรายงานโดยเว็บไซต์ Cyber Press ได้กล่าวถึงการตรวจพบมัลแวร์ประเภทดูดเงินจากบัญชีธนาคาร หรือ Banking Trojan ตัวใหม่ที่มีชื่อว่า RatOn (ชื่อคล้ายคลึงกับมัลแวร์ประเภทเข้าควบคุมเครื่องจากทางไกล หรือ Remote Access Trojan (RAT) เนื่องจากมีความเป็นลูกผสมของมัลแวร์ชนิดนี้ด้วย) โดยมัลแวร์ตัวนี้ถูกตรวจพบเมื่อช่วงเดือนกรกฎาคมที่ผ่านมา ซึ่งตัวมัลแวร์นั้นมีความสามารถในการใช้งานการหลอกขโมยข้อมูลบัตรเครดิตด้วยการหลอกสแกนบัตรเพื่อถ่ายโอนข้อมูลทางช่องทาง NFC (Near Field Connection) หรือที่ถูกเรียกว่าวิธีการแบบ NFC Relay ร่วมกับการขโมยเงินด้วยระบบโอนเงินอัตโนมัติ (Automated Transfer System หรือ ATS) โดยมัลแวร์ตัวนี้จะมุ่งเน้นการโจมตีกลุ่มผู้ที่ใช้งานระบบปฏิบัติการ Android ในประเทศสาธารณรัฐเช็ก และ สาธารณรัฐสโลวาเกีย เป็นหลัก
- แฮกเกอร์เกาหลีเหนือ เปิดตัวมัลแวร์แบบภาษา Rust ตัวใหม่ มุ่งโจมตีผู้ใช้งาน Windows ผ่านการ Phishing
- มัลแวร์ ChillyHell ยังคงสามารถแฝงตัวบน macOS แบบตรวจจับไม่ได้ ถึงแม้ถูกค้นพบมานานแล้ว
- มัลแวร์ตัวใหม่ GPUGate แพร่กระจายผ่านทางโฆษณาปลอม ล่อลวงฝ่าย IT ให้ดาวน์โหลด
- แก๊งแรนซัมแวร์ LunaLock ขู่แพลตฟอร์มขายงานศิลปะจะเอาผลงานศิลป์เผยแพร่แบบสาธารณะถ้าไม่จ่ายเงิน
- พัฒนาการใหม่ของ Android Dropper สามารถปล่อยมัลแวร์ขโมย SMS และสปายแวร์ ลงอุปกรณ์ Android ได้แล้ว
การแพร่กระจายมัลแวร์ตัวนี้เรียกได้ว่าเป็นการใช้วิธีการแบบคลาสสิค คือการหลอกเหยื่อเข้าสู่เว็บไซต์สุ่มเสี่ยงอย่างเช่น เว็บไซต์ที่มีคอนเทนต์สำหรับผู้ใหญ่ เพื่อให้เหยื่อทำการดาวน์โหลดแอปพลิเคชันปลอมในรูปแบบไฟล์ APK ลงไปติดตั้งบนเครื่องของเหยื่อซึ่งเป็นวิธีการที่ถูกเรียกว่าการทำ Sideloading ซึ่งตัวไฟล์มัลแวร์ดังกล่าวจะทำหน้าที่เป็นมัลแวร์นกต่อ (Dropper) ที่เริ่มทำงานจากการปล่อย Web View Interface เพื่อใช้งาน installApk API ในการทำการดาวน์โหลดเพื่อติดตั้งไฟล์มัลแวร์ชุดที่สอง (Payload)
หลังจากติดมัลแวร์ชุดที่ 2 ได้ถูกติดตั้งลงบนเครื่องของเหยื่อ ตัวมัลแวร์จะทำการเด้ง Web View หลอกขึ้นมาตัวหนึ่งเพื่อขอสิทธิ์ในการใช้งานโหมดสำหรับช่วยเหลือผู้ใช้งานที่พิการ (Accessibility Mode) รวมทั้งขอสิทธิ์ในการเข้าถึงระบบในระดับผู้ดูแล (Admin หรือ Administrator) ซึ่งหลังจากที่ได้รับสิทธิ์ทั้ง 2 อย่างเป็นที่เรียบร้อยแล้วมัลแวร์ตัวนี้ก็จะเหมือนหนูติดปีก เนื่องจากตัวมัลแวร์จะมีความสามารถในการขอสิทธิ์อื่น ๆ เพิ่มเติมได้อย่างอัตโนมัติจนมีสิทธิ์ในการใช้งานในระดับครอบครองทั้งระบบ เช่น การเข้าถึงการตั้งค่าของระบบ (System Setting) และ สิทธิ์ในการเข้าถึงรายชื่อผู้ติดต่อ (Contact) ทั้งยังสามารถแอบทำงานบนระบบได้อย่างเงียบเชียบด้วย
ด้วยสิทธิ์ดังกล่าวจะส่งผลให้มัลแวร์สามารถใช้ความสามารถที่มีอยู่ในตัวมากมายเพื่อลักลอบขโมยข้อมูล และโจมตีเหยื่อ ไม่ว่าจะเป็นการแอบสอดส่องหน้าจอผู้ใช้งาน, แอบบันทึกหน้าจอเพื่อส่งกลับไปยังเซิร์ฟเวอร์, การสร้างหน้า Web View เลียนแบบหน้าแอปพลิเคชันคริปโตเคอร์เรนซี หรือ แอปการเงิน เพื่อหลอกเอารหัสผ่าน ซึ่งเป็นการโจมตีแบบซ้อนหน้าจอ หรือ Overlay Attack ทำให้แฮกเกอร์สามารถปลดล็อกกระเป๋าเงินคริปโตเคอร์เรนซีด้วยเลข PIN ที่หลอกขโมยมาได้ โดยการโจมตีนี้ครอบคลุมกระเป๋าคริปโตยอดนิยมหลายตัว เช่น MetaMask, Trust Wallet, Blockchain.com และ Phantom เป็นต้น
ทางทีมวิจัยพบว่าตัวมัลแวร์มีคำสั่ง (Command) ในรูปแบบไฟล์ JSON ที่มากถึง 50 คำสั่ง โดยครอบคลุมตั้งแต่คำสั่งสำหรับการบันทึกหน้าจออย่าง [display] สำหรับการแคสหน้าจอสด ๆ ไปให้แฮกเกอร์ได้ดู, [txt_screen] สำหรับการบันทึกภาพแบบ Snapshot ครั้งเดียว, [record] สำหรับการขอสิทธิ์ในการทำไลฟ์สตรีมหน้าจอของเหยื่อไปให้แฮกเกอร์โดยที่ไม่หน่วงเครื่องมากนัก
ตัวคำสั่งเหล่านี้ยังครอบคลุมไปยังการใช้ฟีเจอร์โอนเงินอัตโนมัติ หรือ ATS ซึ่ง ณ เวลาที่ตรวจพบนั้น ตัวมัลแวร์ยังคงมุ่งเน้นการใช้งานบนแอปธนาคารของทางเช็ก อย่าง George Česko เพียงแห่งเดียว โดยคำสั่งสำหรับสนับสนุนการใช้งานนี้ก็มีหลากหลายตัว เช่น [transfer] สำหรับสั่งให้เปิดแอปธนาคารดังกล่าวขึ้นมาเพื่อทำการโอนเงินไปยังผู้รับที่ถูกบันทึกอยู่บนไฟล์ JSON นอกจากนั้นแฮกเกอร์ยังสามารถตรวจสอบการจำกัดยอดการโอนเงินด้วยคำสั่ง [check_limit] และปรับยอดด้วยการใช้คำสั่ง [limit] ได้อีกด้วย
สำหรับในส่วนของการใช้งาน NFC Relay นั้นจะอยู่บน Payload ที่ 3 ซึ่งเป็นโมดูล (Module) ที่แฮกเกอร์จะติดตั้งเมื่อต้องการจะใช้งาน (On Demand) ในการหลอกให้เหยื่อสแกนบัตรผ่านทาง NFC เพื่อนำเอาข้อมูลบัตรไปใช้จ่ายผ่านการสแกน NFC เพื่อตัดเงินบัตรอัตโนมัติโดยที่เจ้าของบัตรไม่อนุญาตได้
นอกจากนั้นทางทีมวิจัยยังได้เปิดเผยข้อมูลรายละเอียดในเชิงลึก เพื่อให้ผู้ใช้งานที่มีความเชี่ยวชาญสามารถตรวจจับว่าเครื่องมือมัลแวร์แฝงอยู่หรือไม่อีกด้วย ดังนี้
รายชื่อเซิร์ฟเวอร์ที่มัลแวร์ใช้งาน
- marvelcore[.]top
- evillab[.]world
- www-core[.]top
- tiktok18[.]world
- evillab[.]world
ข้อมูล Hash SHA256 ของไฟล์ที่เกี่ยวข้องกับมัลแวร์
- bf82609c55304c468996244d3ecc16348d9bea0891482ca724ffefcfaded8b66
- bba15ecc8404698530761a122d3f03310b5e775f2e1552b645135fefd27e625c
- 98c711801e9b89b4d0b4fb6c6fc5e8310ef3da226c7ac7261f04505384cd488a
- 98e09a8f01980d11177549eea9598ffd573e1be355a05ef7d31b85c6be9a38ce
- bbc7f2b5c17f90e4c054bc525d85cb96a791a9fe8c8295894fac50a9722fc908
ที่มา : cyberpress.org
คำสำคัญ »
|
|
ข่าวไอทีที่เกี่ยวข้อง
แสดงความคิดเห็น
ข่าวไอทีแนะนำ
ข่าวประชาสัมพันธ์
Thaiware.com is owned and operated by Thaiware Communication Co., Ltd.