James Quinn จาก Binary Defense ได้ออกมาเปิดเผยถึงปฏิบัติการการโจมตีกระบวนการแพร่กระจายของมัลแวร์ Emotet โดยการโจมตีช่องโหว่ Buffer overflow ในกระบวนการติดตั้งของมัลแวร์ซึ่งส่งผลให้มัลแวร์ล้มเหลวที่จะทำงานต่อและทำให้กระบวนการแพร่กระจายของมัลแวร์ Emotet ในถูกชะลอลงไปได้กว่า 6 เดือน
มัลแวร์ Emotet เป็นหนึ่งในมัลแวร์ตระกูล Botnet ซึ่งมีอัตราการแพร่กระจายสูงสุดสายพันธุ์หนึ่งของโลก โดยหากผู้ควบคุมมัลแวร์ Emotet สามารถใช้มัลแวร์เป็นช่องทางในการขโมยข้อมูลระบบหรือใช้ในการติดตั้งมัลแวร์สายพันธุ์อื่นๆ เข้าไปเพิ่มเติมได้
ช่องโหว่ที่ James Quinn ค้นพบนั้นเป็นช่องโหว่ Buffer overflow ง่ายๆ ในกระบวนการติดตั้งลงในระบบของมัลแวร์ Emotet โดยการโจมตีช่องโหว่ดังกล่าวสามารถทำได้เพียงแค่ใช้สคริปต์ PowerShell ในการแก้ไขค่าซึ่งเกี่ยวข้องกับการตั้งค่ารีจิสทรีที่มัลแวร์ Emotet จะเข้าไปดำเนินการ ส่งผลให้เกิดลักษณะของการทำ Killswitch และทำให้มัลแวร์ไม่สามารถติดตั้งในระบบได้
ช่องโหว่นี้ถูกแพร่กระจายอย่างลับๆ ระหว่างหน่วยงาน CERT และกลุ่ม Cybersecurity เพื่อป้องกันคนร้ายรู้ตัว โดยช่องโหว่ดังกล่าวถูกนำมาใช้ตั้งแต่ช่วงวันที่ 6 กุมภาพันธ์จนถึงวันที่ 5 สิงหาคมที่ผ่านมา ทั้งนี้ช่องโหว่นี้ในปัจจุบันไม่สามารถใช้หยุดการแพร่กระจายได้แล้วเนื่องจากผู้พัฒนามัลแวร์ได้มีการแก้ไขโค้ดซึ่งส่งผลให้ช่องโหว่ดังกล่าวถูกปิดลง
อ่านบทวิเคราะห์ฉบับเต็มจาก Binary Defense ได้ที่: https://www.binarydefense.com/emocrash-exploiting-a-vulnerability-in-emotet-malware-for-defense/
ที่มา: thehackernews.com และ threatpost.com