พบแคมเปญเผยแพร่มัลแวร์ซึ่งมุ่งเป้าโจมตีไปยังเกาหลีใต้โดยปลอมแปลง RAT (remote access trojan) เป็นเกมสำหรับผู้ใหญ่ที่แชร์ผ่าน Webhards และ Torrents
ผู้โจมตีกำลังใช้มัลแวร์ที่หาได้ง่าย เช่น njRAT และ UDP RAT มารวมไว้ในแพ็คเกจที่ดูเหมือนเกม หรือโปรแกรมอื่นๆ แล้วทำการอัปโหลดไปยัง Webhards
WebHard เป็นบริการจัดเก็บข้อมูลออนไลน์ที่ได้รับความนิยมในเกาหลี มีความสะดวกในการดาวน์โหลด ผู้ใช้งานใช้ Webhards ผ่าน Discord หรือใช้โพสต์โซเชียลมีเดีย ทำให้ถือว่าเป็นแหล่งเก็บข้อมูลยอดนิยมที่มีผู้เข้าชมรายวันอย่างต่อเนื่อง
ตามที่รายงานโดยนักวิเคราะห์ที่ ASEC ปัจจุบันผู้โจมตีกำลังใช้ webhards เพื่อแพร่กระจาย UDP RAT ที่ปลอมแปลงเป็นไฟล์ ZIP ที่มีเกมสำหรับผู้ใหญ่ เมื่อแตกไฟล์จะมีไฟล์ 'game.exe' ซึ่งจริงๆ แล้วเป็นมัลแวร์ หากกดติดตั้ง Game.exe จะปล่อย Themida-packed RAT และถูกซ่อนไว้ พร้อมทั้งสร้างไฟล์ Game.exe ใหม่ที่จะเรียกใช้งานเกมจริง ทำให้เหยื่อหลงเชื่อ
เมื่อกระบวนการเสร็จสิ้นมัลแวร์จะถูกเก็บไว้ในโฟลเดอร์ 'C:\Program Files\4.0389' เป็นโปรแกรมเรียกมัลแวร์ที่สามารถเชื่อมต่อไปยัง C&C และสามารถดาวน์โหลดเพย์โหลดที่เป็นอันตรายเพิ่มเติมได้
สำหรับแคมเปญนี้ ASEC ไม่สามารถสุ่มตัวอย่างเพย์โหลดเพิ่มเติมใดๆ ได้ ดังนั้น ฟังก์ชันนี้จึงอาจเป็นฟังก์ชันไว้สำหรับการปรับใช้ในอนาคต หรือใช้งานเป็นช่วงๆ
มัลแวร์อย่าง njRAT นั้นอันตรายเป็นพิเศษ เนื่องจากสามารถขโมยข้อมูลทีมีความสำคัญรวมถึงข้อมูล Credentials ของบัญชีผู้ใช้ โดยทั่วไปเครื่องมือเหล่านี้สามารถจับภาพหน้าจอบนอุปกรณ์ที่ถูกโจมตี และยังปรับเปลี่ยน Windows Registry เพื่อให้สามารถแอบซ่อนอยู่บนเครื่องที่โจมตีได้นานขึ้น ในกรณีนี้ มัลแวร์จะเพิ่ม Registry key เพื่อให้แน่ใจว่ามีการเชื่อมต่อกับเซิร์ฟเวอร์ C2 เป็นระยะ ทำให้มีความเป็นไปได้ในการรับคำสั่งการโจมตีอื่นๆได้มากขึ้น
ผู้โจมตีได้ใช้วิธีการต่างๆ เพื่อหลอกให้ผู้ใช้งานดาวน์โหลด njRAT ลงบนเครื่อง แต่ส่วนใหญ่แล้วผู้ใช้งานมักจะถูกบริการโจมตีได้จากการใช้งานบริการ file hosting services และ torrents ซะเป็นหลัก
Webhards เป็นบริการจัดเก็บข้อมูลที่ไม่มีการตรวจสอบไฟล์ที่ถูกอัปโหลด และแชร์กับผู้อื่นบนแพลตฟอร์ม
ASEC เตือนเกี่ยวกับความเสี่ยงนี้อีกครั้งในเดือนมิถุนายน เมื่อผู้โจมตีได้เผยแพร่มัลแวร์อีกตัวที่ปลอมตัวเป็นเกมแพลตฟอร์มชื่อ 'Lost Ruins' แพ็คเกจนั้นยังมีความสามารถในการรันทั้งเกม และมัลแวร์พร้อมกัน ทำให้ตรวจสอบการติดไวรัสได้ยากมากขึ้นอีก
ที่มา : bleepingcomputer
You must be logged in to post a comment.