นักวิจัย Unit 42 จาก Palo Alto Network บริษัทด้านความปลอดภัย ได้ทำการวิเคราะห์มัลแวร์ PlugX สายพันธุ์ใหม่ ที่พบว่าสามารถซ่อนตัวใน USB รวมถึงโจมตีไปยังเครื่องผู้ใช้งาน Windows ที่เสียบ USB ที่มีมัลแวร์ตัวนี้ฝังอยู่ รวมถึงยังสามารถแพร่กระจายไปยัง USB อื่น ๆ ได้อีกด้วย
PlugX malware เป็นมัลแวร์ที่แฝงตัวมากับซอฟต์แวร์ที่ดูเหมือนปลอดภัย เพื่อโหลดเพย์โหลดอันตราย โดยถูกนำมาใช้ในการโจมตีตั้งแต่ปี 2008 เริ่มใช้โดย Hackers ชาวจีน ต่อมาผู้โจมตีกลุ่มอื่น ๆ ก็เริ่มนำมาใช้โจมตีเช่นกัน จึงทำให้ไม่สามารถระบุแหล่งที่มาได้
การซ่อนตัวของ PlugX ใน USB
นักวิจัย Unit 42 ทำการวิเคราะห์การโจมตี และพบว่า Hacker ได้ใช้เครื่องมือในการ debug Windows เวอร์ชัน 32 bit ในชื่อ 'x64dbg.exe' ร่วมกับ 'x32bridge.dll' ที่เรียกเพย์โหลด Payload PlugX (x32bridge.dat)
เมื่อทำการตรวจสอบกับ Virus Total แหล่งข้อมูลของผลิตภัณฑ์รักษาความปลอดภัย พบว่ามีเพียง 9 จาก 60 ผลิตภัณฑ์เท่านั้นที่ระบุว่าเป็นอันตราย โดยตัวอย่างล่าสุดของมัลแวร์ PlugX ได้ถูกอัพโหลดในเดือนสิงหาคม 2022 โดยได้อธิบายการทำงานของ PlugX เวอร์ชันที่พบไว้ดังนี้
- ใช้ Unicode สร้างไดเร็กทอรีใหม่ในไดรฟ์ USB ทำให้มองไม่เห็นใน Windows Explorer และ command shell แต่ยังสามารถมองเห็นได้บน Linux
- เพื่อให้สามารถเรียกใช้โค้ดอันตรายจากไดเร็กทอรีที่ซ่อนอยู่ ไฟล์ทางลัด Windows (.lnk) จะถูกสร้างขึ้นบนโฟลเดอร์รูทของอุปกรณ์ USB
- สร้างไฟล์ 'desktop.ini' บนไดเร็กทอรีที่ซ่อนเอาไว้ เพื่อระบุไอคอนไฟล์ LNK ในโฟลเดอร์รูทซึ่งมองเห็นเป็นไดรฟ์ USB เพื่อหลอกลวงเหยื่อ ในขณะเดียวกันไดเร็กทอรีย่อย 'RECYCLER.BIN' ทำหน้าที่ก็อปปี้โฮสต์ของมัลแวร์ไว้ในอุปกรณ์ USB (เทคนิคนี้พบใน PlugX เวอร์ชันเก่าที่วิเคราะห์โดย Sophos ปี 2020)
- เมื่อเหยื่อคลิกที่ไฟล์ทางลัดในโฟลเดอร์รูทของอุปกรณ์ USB ซึ่งจะเรียกใช้ x32.exe ผ่าน cmd.exe และจะทำให้เครื่องนั้นติดมัลแวร์ PlugX และในเวลาเดียวกันหน้าต่าง Explorer จะเปิดขึ้นเพื่อแสดงไฟล์ของผู้ใช้ในอุปกรณ์ USB ทำให้ทุกอย่างดูเหมือนเป็นปกติ
- เมื่อมัลแวร์ PlugX เข้าสู่เครื่องเหยื่อแล้ว ก็จะตรวจสอบอุปกรณ์ USB ใหม่อย่างต่อเนื่อง เพื่อแพร่กระจายไปยังอุปกรณ์ USB อื่น ๆ
นักวิจัย Unit 42 ยังได้พบมัลแวร์ PlugX ที่สามารถขโมยไฟล์เอกสาร ซึ่งมีเป้าหมายที่อุปกรณ์ USB เช่นกัน แต่มีความสามารถเพิ่มเติมในการคัดลอกเอกสาร PDF และ Microsoft Word ไปยังโฟลเดอร์ในไดเร็กทอรีที่ซ่อนอยู่ที่เรียกว่า ‘da520e5’ ปัจจุบันยังไม่สามารถระบุได้ว่า Hacker จะนำข้อมูลที่โจมตีใน USB ออกมาได้ด้วยวิธีการใด แต่คาดว่าการเข้าถึงอุปกรณ์ USB โดยตรง อาจเป็นหนึ่งในวิธีการนำข้อมูลออกมา
ที่มา : bleepingcomputer
You must be logged in to post a comment.