Secureworks Counter Threat Unit (CTU) พบว่าแฮกเกอร์กลุ่ม Cobalt หรือที่รู้จักกันในอีกชื่อว่า "Gold Kingswood" ที่มีเป้าหมายโจมตีสถาบันการเงินทั่วโลก กำลังดำเนินการแพร่กระจายมัลแวร์ "SpicyOmelette"
SpicyOmelette เป็น javascript ที่มีความซับซ้อน มีความสามารถถูกใช้ในการ remote ทำให้แฮกเกอร์สามารถโจมตีระบบได้จากระยะไกล มัลแวร์ตัวนี้ถูกแพร่กระจายผ่านช่องทาง Phishing e-mail โดยมุ่งเป้าไปที่พนักงานในบริษัท ใน e-mail จะมีไฟล์ PDF แนบมาด้วย เมื่อเปิดไฟล์จะถูก redirect ไปยัง URL ที่ถูกชี้ไปยัง AWS ที่แฮกเกอร์เป็นคนควบคุม เมื่อเข้าหน้าเว็บที่ถูก redirect ไปนี้จะถูกทำการติดตั้ง SpicyOmelette ซึ่งหน้าเว็บดังกล่าวจะมีการ sign ด้วย trusted certificate เมื่อ SpicyOmelette ติดตั้งลงบนเครื่องของเป้าหมาย จะทำการรวบรวมข้อมูล IP, ชื่อระบบ และทำการติดตั้งไฟล์อันตรายอื่นเพิ่มเติม รวมทั้งสามารถสแกนหา antivirus ที่ติดตั้งอยู่ภายในเครื่องได้ มัลแวร์ยังสามารถเพิ่มสิทธิ์ตัวเอง (privilege escalation) ด้วยการขโมย credential อื่นๆ บนเครื่อง สามารถทำการเก็บข้อมูลเพื่อใช้ในการระบุว่าเป็นระบบที่มีความสำคัญหรือไม่ เช่น Payment Gateway หรือรูปแบบโครงสร้างของเครื่อง ATM
ก่อนหน้านี้เชื่อว่ากลุ่ม Cobalt มีส่วนเกี่ยวข้องในการขโมยเงินหลายล้านดอลลาร์จากสถาบันการเงินทั่วโลก แม้จะมีการจับกุมผู้ต้องสงสัยได้แต่ทาง CTU คาดว่ากลุ่มแฮกเกอร์ดังกล่าวจะไม่มีการหยุดกระทำการใดๆ และยังคงมีการพัฒนาการโจรกรรมต่อไปเรื่อยๆ และองค์กรการเงินยังคงอยู่ในความเสี่ยงต่อภัยคุกคามจากกลุ่มนี้อยู่
ที่มา : ZDNet