หลายเดือนก่อน มีการค้นพบมัลแวร์ชื่อว่า "RETADUP" ที่ถูกใช้โจมตีในโรงพยาบาลอิสราเอล จากการตรวจสอบพบ Android มัลแวร์ที่ชื่อว่า "GhostCtrl" ในระบบ โดยจะถูกใช้ในการโจมตี หรือโจรกรรมข้อมูล ในขณะเดียวกันก็ได้พบว่ามีการโจมตีเกิดขึ้นในโซนอเมริกาใต้ ซึ่งพบว่าเป็นมัลแวร์ตระกูลเดียวกับ RETADUP ที่พบมาก่อนหน้านี้ แต่มีจุดประสงค์เพื่อโจมตีเป้าหมายเพียงอย่างเดียว ไม่ได้ต้องการที่จะโจรกรรมข้อมูลแต่อย่างไร เชื่อว่ามัลแวร์กลุ่มนี้น่าจะเน้นการโจมตีเฉพาะเป้าหมายที่เป็นกลุ่มอุตสาหกรรม และรัฐบาล และยังไม่พบหลักฐานว่ามีการซื้อขายมัลแวร์ดังกล่าวในตลาดมืด
ในระบบที่ติดมัลแวร์ "RETADUP" นี้ จะพบเครื่องมือที่ใช้ในการขุดสกุลเงินดิจิตอล(cryptocurrency) ที่หลากหลายแตกต่างกันออกไป ในอดีต RETADUP จะใช้เครื่องมือที่ชื่อว่า "cpuminer-multi" ซึ่งเป็น Opensource ที่ใช้ในการขุดเงินดิจิตอล แต่ในตัวที่พบล่าสุดนี้เป็นการเขียน Code ให้ทำงานโดยตรง และได้มีการปรับพฤติกรรมการทำงานให้แตกต่างกับตัวเก่าออกไปหลายอย่าง เช่น แบ่งการทำงานออกเป็น 2 ส่วน คือส่วนที่ทำให้ติด(Infector) และส่วนการ remote(RAT), มีการใช้ HTTP GET Request ในการรับส่งข้อมูลกับ C&C และพบว่ามีการนำส่วนที่เกี่ยวข้องกับการโจรกรรมข้อมูลออกไป
ทั้งนี้ยังมีข้อสงสัยหลายประการที่ยังไม่สามารถหาคำตอบได้เกี่ยวกับมัลแวร์ตระกูลนี้ เช่น การโจมตีเกิดจากกลุ่ม หรือบุคคลใด, ปัจจัยอะไรบ้างที่ทำให้เกิดการโจมตี, และจุดประสงค์ของการโจมตีที่ยังไม่ชัดเจน ถึงแม้การขุดเงินดิจิตอลจะดูเหมือนเป็นแรงจูงใจที่ดี แต่ตัวบ่งชี้จากเป้าหมายที่ถูกโจมตีนั้นน่าจะเหมาะกับการโจรกรรมข้อมูลมากกว่า
ที่มา:trendmicro
You must be logged in to post a comment.