Palo Alto แจ้งเตือนมัลแวร์ Trochilus และ MoonWind ที่โจมตีหลายหน่วยงานในไทย
Palo Alto ได้มีการประกาศแจ้งเตือนการแพร่กระจายของมัลแวร์ Trochilus และ MoonWind ที่มุ่งโจมตีหน่วยงานหลายแห่งในไทยเมื่อสุดสัปดาห์ทีผ่านมาโดยมีการตรวจพบการโจมตีของมัลแวร์ในช่วงเดือนกันยายนถึงเดือนพฤศจิกายของปีที่ผ่านมา
สำหรับมัลแวร์ MoonWind ที่พึ่งมีการตรวจสอบพบล่าสุดนั้น เมื่อมีการแพร่กระจายไปยังระบบแล้ว มัลแวร์จะมีการสร้างโปรเซสชื่อ svcohos.exe โดยมีการสร้างไฟล์ของมัลแวร์ที่พาธ
C:\Documents and Settings\All Users\Ufyaginptxb\, C:\Users\All Users\
C:\PorgramData\
C:\Program Files\Common Files\
อีกทั้งยังมีการสร้างเซอร์วิสเพื่อสั่งรันโปรแกรมชื่อว่า sevrsvos.exe ในกรณีที่ svcohos.exe ไม่มีการรันไว้ด้วย โดยมีรายละเอียดของเซอร์วิสคือ
Service Name: Windows Ejlptxtxbfjn Rvzd
Display Name: Windows Ejlptxtxbfjn Rvzd
Description: Windows Ejlptxtxbfjn Rvzd Hlptxbfjnr
Startup Type: Automatic
มัลแวร์ Moonwind ถูกออกแบบมาให้ทำงานในลักษณะของโปรแกรมบันทึกการพิมพ์ข้อมูล (keylogger) และขโมยข้อมูล โดยจะทำการส่งข้อมูลที่ถูกเข้ารหัสโดยมัลแวร์ไปที่เซิร์ฟเวอร์ที่ใช้ออกคำสั่งควบคุมตามรายการด้านล่าง
dns.webswindows[.]com|80
dns.webswindows[.]com|443
dns.webswindows[.]com|53
dns.webswindows[.]com|8080
ขอให้ผู้ใช้งานและผู้ดูแลระบบตรวจสอบข้อมูลอ้างอิงจากพฤติกรรมของมัลแวร์อย่างถี่ถ้วนเพื่อป้องกันความเสียหายและการรั่วไหลของข้อมูล
ที่มา : Palo Alto
You must be logged in to post a comment.