มัลแวร์ใช้ฟีเจอร์ Microsoft Windows Error Reporting (WER) เพื่อรันโค้ดอันตรายแบบไม่มีไฟล์ (fileless)

Hossein Jazi และ Jérôme Segura จาก MalwareBytes เปิดเผยผลการวิเคราะห์ซึ่งตรวจพบในมัลแวร์สายพันธุ์ใหม่ วิธีการนี้เคยถูกใช้ในมัลแวร์ Netwalker และมัลแวร์เรียกค่าไถ่ Cerber มาก่อนแล้ว

มัลแวร์เริ่มต้นการแพร่กระจายผ่านทางสคริปต์ macro ในไฟล์ทางอีเมล โดยสคริปต์ดังกล่าวนั้นถูกพัฒนามาจากโครงการโอเพนซอร์สสำหรับการประเมินความปลอดภัยระบบชื่อ CactusTorch ซึ่งมีความสามารถในการโหลดไบนารีซึ่งถูกคอมไพล์จาก .Net ไปยังโปรเซสที่ต้องการเพื่อฝังโค้ดที่เป็นอันตรายได้

ในกรณีของมัลแวร์ดังกล่าว มัลแวร์มีการโหลดโมดูลที่มีชื่อว่า Kraken และกำหนดเป้าหมายในการแทรกโค้ดไบนารีไปยังโปรเซส werfault.exe ซึ่งเป็นโปรเซสของฟีเจอร์ Microsoft Windows Error Reporting แฮกเกอร์ใช้ประโยชน์จาก werfault.exe ซึ่งมักจะแสดงหน้าต่างเวลาฟีเจอร์ใดฟีเจอร์หนึ่งของระบบทำงานผิดพลาดมาอำพรางการทำงานของมัลแวร์

ทีม Intelligence Response ของไอ-ซีเคียวได้ทำการตรวจสอบการทำงานของความสามารถใน CactusTorch แล้ว ด้วยเทคโนโลยีในการตรวจจับใหม่ซึ่งมีในโปรแกรมป้องกันมัลแวร์ หรือเทคโนโลยี AMSI ในระบบซึ่งโปรแกรมป้องกันมัลแวร์สามารถเข้ามาใช้ในการช่วยตรวจสอบได้ เราลงความเห็นว่าการใช้ CactusTorch ในปัจจุบันกับระบบที่มีการอัปเดตเป็นปัจจุบันนั้นมีโอกาสที่จะสำเร็จต่ำ และสร้างผลกระทบได้น้อย

ที่มา : Zdnet

ภาพจาก : malwarebytes