Cisco Talos แจ้งเตือนการปลอมแปลงอีเมล SEC เพื่อแพร่กระจายมัลแวร์ DNSMessenger
Cisco Talos ออกรายงานการวิเคราะห์เมื่อกลางสัปดาห์ที่ผ่านมาหลังจากมีการตรวจพบลักษณะการโจมตีใหม่ที่ผู้โจมตีมีการใช้เว็บไซต์ทางราชการสหรัฐฯ เป็นเครื่องมือเพื่อช่วยในการโจมตี โดยมีจุดประสงค์เพื่อแพร่กระจายมัลแวร์ DNSMessenger ซึ่งมีการติดต่อกับเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุม (C&C server) ผ่านโปรโตคอล DNS เป็นหลัก
แคมเปญการโจมตีมีจุดเริ่มต้นที่อีเมลสแปมที่ใช้ในการแพร่กระจายมัลแวร์ ผู้โจมตีจะทำการปลอมแปลงที่มาของอีเมลว่ามาจากระบบ EDGAR ของสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์สหรัฐฯ (SEC) ซึ่งเป็นระบบจัดการเอกสารรูปแบบหนึ่ง ไฟล์มัลแวร์จะถูกแพร่กระจายในรูปแบบของไฟล์เอกสาร
จุดน่าสนใจของวิธีการที่ผู้โจมตีใช้คือผู้โจมตีไม่ได้มีการใช้ลักษณะมาโครสคริปต์ในไฟล์เอกสารเพื่อดาวโหลดและติดตั้งมัลแวร์ แต่ผู้โจมตีมีการใช้ฟีเจอร์ที่เก่าแก่กว่ามาโครสคริปต์ Dynamic Data Exchange (DDE) เพื่อดาวโหลดและสั่งรันมัลแวร์ ด้วยรูปแบบใหม่นี้ระบบป้องกันที่เน้นไปที่การตรวจจับและป้องกันมาโครสครติป์จะไม่สามารถป้องกันการโจมตีในรูปแบบนี้ได้
เมื่อไฟล์เอกสารถูกเปิดและมีการอนุญาตให้ไฟล์เอกสารเรียกโปรแกรมอื่น (ผู้ใช้งานจำเป็นต้องกดอนุญาตเอง) มัลแวร์จะถูกดาวโหลดและติดตั้งที่เครื่องของผู้ใช้งาน โดยจะมีการแก้ไขค่าของรีจีสทรีและ Scheduled Tasks ให้รันตัวเองโดยอัตโนมัติเมื่อมีการเริ่มต้นการทำงานของระบบด้วย
แนะนำให้ผู้ใช้งานระมัดระวังเมื่อมีการเปิดไฟล์เอกสารใดๆ และควรตรวจสอบแหล่งที่มาให้ดีก่อนดาวโหลดไฟล์แนบจากอีเมล
ที่มา: zdnet
You must be logged in to post a comment.