แฮกเกอร์ได้มีการใช้ Microsoft Build Engine (MSBuild) ในทางที่ผิด โดยใช้ส่ง Trojan และ Malware ประเภท Fileless ซึ่งมีเป้าหมายในการขโมยข้อมูลบนระบบ Windows
นักวิจัยจากบริษัท Anomali ที่ให้บริการด้านโซลูชันการรักษาความปลอดภัยทางไซเบอร์ กล่าวว่าเมื่อวันพฤหัสที่ผ่านมา (13 May 2021) ไฟล์ที่มีโค้ดอันตรายที่มีการเข้ารหัสและเชลล์โค้ดสำหรับติดตั้ง Blackdoor เพื่อใช้ในการเข้าควบคุมเครื่องของเหยื่อเพื่อขโมยข้อมูลได้มีการถูกสร้างขึ้น
MSBuild คือ เครื่องมือโอเพ่นซอร์สสำหรับ Compile .NET และ Visual Studio ที่ถูกพัฒนาโดยบริษัท Microsoft ที่มีไว้ใช้สำหรับ Compiling source code, Packaging, Testing, Deploying Applications
การใช้ MSBuild เป็นเครื่องมือในการเข้าควบคุมเครื่องเป้าหมายโดยไม่ต้องใช้ไฟล์ (Fileless) เป็นแนวคิดในการหลบหลีกการถูกตรวจจับเนื่องจาก Malware ตัวนี้ถูกสร้างขึ้นโดยใช้ Application ที่ถูกกฎหมายโดยรูปการทำงานจะเป็นการโหลด Code ลงที่ Memory ทำให้ไม่มีการทิ้งร่องรอยบนระบบและสามารถซ่อนตัวได้โดยที่ไม่ถูกตรวจจับ
ตามที่มีการเขียนระบุไว้ว่ามีเพียงผู้ให้บริการโซลูชันการรักษาความปลอดภัยทางไซเบอร์ 2 รายเท่านั้นที่ระบุว่าหนึ่งในไฟล์ MSBuild ที่มีการอัปโหลดไปยัง VirusTotal vyx.proj ("vwnfmo.lnk") เป็นไฟล์อันตราย และ ("72214c84e2.proj") ในวันที่ 18 April ยังไม่ถูกตรวจพบว่าเป็นไฟล์อันตราย
จากการวิเคราะห์โดย Anomali พบว่าไฟล์ดังกล่าวมีไว้ใช้สำหรับติดตั้ง Remcos RAT และในขณะที่นักวิจัยคนอื่นๆ พบว่ายังมีในส่วนของ Quasar RAT และ RedLine Stealer ด้วย
Remcos RAT เป็นซอฟแวร์ที่เมื่อถูกติดตั้งลงบนเครื่องจะทำให้สามารถเข้าถึงได้จากระยะไกลและมีคุณสมบัติหลายอย่าง เช่น การตรวจจับการกดแป้นพิมพ์ไปจนถึงการใช้งานคำสั่งต่าง ๆ และบันทึกไมโครโฟนและกล้องเว็บแคม ในขณะที่ Quasar RAT เป็นโอเพ่นซอร์ส .NET ที่สามารถบันทึกการกดแป้นพิมพ์, ขโมยรหัสผ่าน ฯลฯ และตัวสุดท้าย Redline Stealer เป็นมัลแวร์ที่จะคอยรวบรวมข้อมูล Credentials จากโปรแกรมเบราว์เซอร์, โปรแกรม VPN และโปรแกรมสำหรับใช้รับส่งข้อความ รวมถึงการขโมยข้อมูลรหัสผ่านและบัญชีที่เกี่ยวข้องกับ Cryptocurrency Apps
นักวิจัย Tara Gould และ Gage Mele จากบริษัท Anomali กล่าวว่าแคมเปญดังกล่าวเราไม่สามารถพึ่งพาซอฟแวร์ป้องกันไวรัสเพียงอย่างเดียวได้เนื่องจากไม่เพียงพอสำหรับการป้องกันภัยคุกคามทางไซเบอร์และการใช้ Code หรือโปรแกรมที่ถูกกฏหมายในการซ่อน Malware จากเทคโนโลยีป้องกันไวรัสนั้นมีประสิทธิภาพและจะมีการเติบโตที่เพิ่มขึ้น
คำแนะนำ
• ทั้งนี้ผู้ดูแลระบบควรทำการตรวจสอบระบบของท่านอยู่เป็นประจำ
• ไม่ควรใช้ Script การเขียนไฟล์ที่มาจากแหล่งไม่น่าเชื่อถือ
• นำไฟล์ไปตรวจสอบเบื้องต้นที่ Virustotal
ที่มา : thehackernews.com
You must be logged in to post a comment.