นักวิจัยด้านความปลอดภัยอิสระที่มีชื่อว่า The Analyst ได้เปิดเผยถึงการพบมัลแวร์ Gootkit ที่กลับมาพร้อมกับ REvil Ransomware ในแคมเปญการโจมตีใหม่ที่กำหนดเป้าหมายไปยังประเทศเยอรมนี
นักวิจัยกล่าวว่าเหตุการณ์ในแคมเปญที่เป็นอันตรายใหม่ของมัลแวร์ Gootkit นี้พบผู้ประสงค์ร้ายกำลังเเฮกไซต์ WordPress และใช้ SEO poisoning แสดงโพสต์ของผู้ประสงค์ร้ายเพื่อให้หลอกให้ผู้ใช้หรือผู้ตอบเยื่ยมชมเว็บไซต์คำถาม โดยคำตอบจะมีลิงก์ไปยังแบบฟอร์มปลอมผู้ประสงค์ร้ายหรือหน้าเว็บที่ให้ทำการดาวน์โหลดไฟล์ของผู้ประสงค์ร้าย ซึ่งเมื่อผู้ใช้คลิกที่ลิงก์ผู้ใช้จะดาวน์โหลดไฟล์ ZIP ที่มีไฟล์ JavaScript ที่เป็นอันตรายและภายในจะมีโค้ดติดตั้งมัลแวร์ Gootkit หรือ REvil ransomware
สอดคล้องกับรายงานของนักวิจัยจาก Malwarebytes ที่ได้อธิบายเพย์โหลด JavaScript ที่เป็นอันตรายและจะทำการโจมตีแบบ fileless attacks เมื่อทำการคลิกเปิดสคริปต์ JavaScript ที่เชื่อมต่อกับเซิร์ฟเวอร์ C&C ของผู้ประสงค์ร้ายและจะดาวน์โหลดสคริปต์อื่นๆ ที่มีเพย์โหลดมัลแวร์ที่เป็นอันตราย ซึ่งในการวิเคราะห์เพย์โหลดนี้มักจะเจอมัลแวร์ Gootkit แต่ในบางกรณีก็เป็น REvil ransomware อย่างไรก็ดีเพย์โหลดเหล่านี้จะถูกจัดเก็บเป็นสตริงที่เข้ารหัส Base64 หรือฐานสิบหกและจะสร้าง Windows Registry เป็นจำนวนมาก เพื่อให้ซอฟต์แวร์รักษาความปลอดภัยหรือซอฟต์แวร์ป้องกันไวรัสตรวจจับเพย์โหลดที่เป็นอันตรายได้ยากขึ้น
ทั้งนี้ผู้ใช้ควรมีความระมัดระวังในการเข้าใช้หรือเข้าเยื่ยมชมเว็บไซต์ที่ไม่รู้จักและไม่ควรทำการดาวน์โหลดไฟล์ใดๆ จากเว็บไซต์เหล่านี้เพื่อเป็นการป้องกันการตกเป็นเหยื่อของมัลแวร์
ที่มา: bleepingcomputer.com