Hossein Jazi และ Jérôme Segura จาก MalwareBytes เปิดเผยผลการวิเคราะห์ซึ่งตรวจพบในมัลแวร์สายพันธุ์ใหม่ วิธีการนี้เคยถูกใช้ในมัลแวร์ Netwalker และมัลแวร์เรียกค่าไถ่ Cerber มาก่อนแล้ว
มัลแวร์เริ่มต้นการแพร่กระจายผ่านทางสคริปต์ macro ในไฟล์ทางอีเมล โดยสคริปต์ดังกล่าวนั้นถูกพัฒนามาจากโครงการโอเพนซอร์สสำหรับการประเมินความปลอดภัยระบบชื่อ CactusTorch ซึ่งมีความสามารถในการโหลดไบนารีซึ่งถูกคอมไพล์จาก .Net ไปยังโปรเซสที่ต้องการเพื่อฝังโค้ดที่เป็นอันตรายได้
ในกรณีของมัลแวร์ดังกล่าว มัลแวร์มีการโหลดโมดูลที่มีชื่อว่า Kraken และกำหนดเป้าหมายในการแทรกโค้ดไบนารีไปยังโปรเซส werfault.exe ซึ่งเป็นโปรเซสของฟีเจอร์ Microsoft Windows Error Reporting แฮกเกอร์ใช้ประโยชน์จาก werfault.exe ซึ่งมักจะแสดงหน้าต่างเวลาฟีเจอร์ใดฟีเจอร์หนึ่งของระบบทำงานผิดพลาดมาอำพรางการทำงานของมัลแวร์
ทีม Intelligence Response ของไอ-ซีเคียวได้ทำการตรวจสอบการทำงานของความสามารถใน CactusTorch แล้ว ด้วยเทคโนโลยีในการตรวจจับใหม่ซึ่งมีในโปรแกรมป้องกันมัลแวร์ หรือเทคโนโลยี AMSI ในระบบซึ่งโปรแกรมป้องกันมัลแวร์สามารถเข้ามาใช้ในการช่วยตรวจสอบได้ เราลงความเห็นว่าการใช้ CactusTorch ในปัจจุบันกับระบบที่มีการอัปเดตเป็นปัจจุบันนั้นมีโอกาสที่จะสำเร็จต่ำ และสร้างผลกระทบได้น้อย
ที่มา : Zdnet
ภาพจาก : malwarebytes
You must be logged in to post a comment.