โทรจันตัวใหม่มุ่งโจมตีลูกค้าของธนาคารด้วย Keyloggers
นักวิจัยด้านความปลอดภัยพบแคมเปญฟิชชิงแพร่กระจายมัลแวร์ที่กำลังแพร่กระจายอยู่ แคมเปญนี้มีเป้าหมายเป็นลูกค้าของธนาคาร โดยมัลแวร์ตัวนี้มีชื่อว่า WSH Remote Access Tool (RAT) มีความสามารถในการติดตั้ง Keyloggers และขโมยข้อมูล WSH RAT มีลักษณะคล้าย Houdini Worm (H-Worm) ที่แพร่กระจายในปี 2013
WSH RAT พยายามตั้งชื่อให้คล้ายกับ WSH (Windows Script Host) ซึ่งเป็นแอปพลิเคชันที่ใช้เรียกใช้งานสคริปต์บนเครื่อง Windows โดย WAS RAT ขายในลักษณะการใช้งานรายเดือนในราคา 50 ดอลลาร์สหรัฐต่อเดือน และมีการทำการตลาดอย่างหนักจากผู้ผลิต หลังจากที่ได้มีการวางจำหน่ายเมื่อวันที่ 2 มิถุนายนก็ได้มีการเผยแพร่อย่างรวดเร็วผ่านแคมเปญฟิชชิงในรูปแบบของ URL ไฟล์ MHT และไฟล์ ZIP
RAT ช่วยให้ผู้ซื้อสามารถเริ่มต้นการโจมตีเพื่อขโมยรหัสผ่านจากเว็บเบราว์เซอร์และอีเมลไคลเอ็นต์ของเหยื่อ ควบคุมคอมพิวเตอร์ของเหยื่อจากระยะไกล อัปโหลด ดาวน์โหลดและเรียกใช้ไฟล์ รวมถึงเรียกใช้สคริปต์และคำสั่งจากระยะไกล นอกจากนี้ยังมีความสามารถ Keyloggers ทำให้สามารถฆ่าโปรแกรมป้องกันมัลแวร์และปิดการใช้งาน Windows UAC กับผู้ที่ตกเป็นเหยื่อ
เมื่อเหยื่อหลงเชื่อและติดตั้งไฟล์แนบจากแคมเปญฟิชชิงแล้ว WSH RAT จะติดต่อไปยังเซิร์ฟเวอร์สั่งการ (C2) แล้ว WSH RAT จะดาวน์โหลดและวางไฟล์เพิ่มเติมสามไฟล์ที่มีนามสกุล. tar.gz แต่จริง ๆ แล้วเป็นไฟล์ปฏิบัติการ PE32 ได้แก่ Keylogger โปรแกรมดูข้อมูลอีเมล และโปรแกรมดูรหัสผ่านในเบราว์เซอร์
นักวิจัยของ Cofense ผู้ค้นพบ WSH RAT ระบุว่าผู้โจมตียังคงใช้เทคนิคเดิมซ้ำๆ เพื่อโจมตีตราบเท่าที่มันยังได้ผลในปัจจุบัน นอกจากนี้แคมเปญฟิชชิงดังกล่าวใช้ไฟล์ ZIP ที่มีไฟล์ MHT อยู่ภายในสามารถหลบหลีกการตรวจสอบไวรัสและสแปมของ Symantec Messaging Gateway และทำการติดเชื้อเป้าหมายได้สำเร็จอีกด้วย
ที่มา : bleepingcomputer
You must be logged in to post a comment.