กลุ่มผู้โจมตีในแคมเปญที่ชื่อว่า Roaming Mantis ถูกพบว่ามีการใช้มัลแวร์บนโทรศัพท์มือถือที่รู้จักกันในชื่อ Wroba เพื่อมุ่งเป้าโจมตีไปยัง Wi-Fi router และทำการ Domain Name System (DNS) hijacking
โดยรายงานการวิเคราะห์มัลแวร์จาก Kaspersky พบว่า feature นี้ได้ถูกออกแบบมาเพื่อโจมตีเป้าหมาย Wi-Fi router ที่อยู่ในเกาหลีใต้
Roaming Mantis หรือที่รู้จักกันในชื่อว่า Shaoye เป็นปฏิบัติการที่มีเป้าหมายทางด้านการเงินมาอย่างยาวนาน โดยจะมุ่งเป้าไปยังผู้ใช้งาน android smartphone เป็นหลัก โดยมัลแวร์ที่ใช้มีความสามารถในการขโมยข้อมูลประจำตัวของบัญชีธนาคาร หรือข้อมูลที่มีความสำคัญอื่น ๆ
แม้ว่าเป้าหมายหลักจะอยู่ในภูมิภาคเอเชียมาตั้งแต่ปี 2018 แต่ก็พบว่ามีการโจมตีไปยังผู้ใช้งานในฝรั่งเศส และเยอรมนีเป็นครั้งแรกในช่วงต้นปี 2022 โดยการปลอมตัวเป็นแอปพลิเคชันเว็บเบราว์เซอร์อย่าง Google Chrome
มัลแวร์จะเริ่มจากการโจมตีแบบ smishing โดยการส่งข้อความ SMS ที่มี URL สำหรับดาวน์โหลดไฟล์ APK ที่เป็นอันตราย หรือเปลี่ยนเส้นทางเหยื่อไปยังหน้าเว็ปฟิชชิ่ง
อีกวิธีการหนึ่งที่ถูกพบคือ DNS Hijacking ด้วยการโจมตีไปยัง Wi-Fi router เพื่อทำการแก้ไขการตั้งค่าของ DNS เพื่อเปลี่ยนเส้นทางผู้ใช้งานไปยัง Landing Page ปลอม ซึ่งไม่ว่าจะใช้วิธีการใดก็ตาม การโจมตีจะนำไปสู่การติดตั้งมัลแวร์ที่ชื่อว่า Wroba (หรือ MoqHao และ XLoader)
โดยข้อมูลล่าสุดของ Wroba จากรายงานของ Kaspersky พบว่าฟังก์ชันการเปลี่ยนค่า DNS ได้รับการออกแบบมาสำหรับเราเตอร์บางตัว โดยจะอิงจาก model numbers เพื่อเปลี่ยนเส้นทางของเหยื่อไปยัง host ที่เป็นอันตราย และปิดการ update ของอุปกรณ์รักษาความปลอดภัย
แต่มีความเป็นไปได้ว่าการพยายามเปลี่ยนการตั้งค่าของ DNS จะยังถูกใช้เฉพาะที่เกาหลีใต้ แต่อย่างไรก็ตาม Wroba เองมีการกำหนดเป้าหมายไปยังเหยื่อในประเทศต่าง ๆ เช่น
ออสเตรเลีย ฝรั่งเศส เยอรมันนี อินเดีย ญี่ปุ่น มาเลเซีย ตุรกี ใต้หวัน และอเมริกา ด้วยวิธีการ smishing เช่นเดียวกัน
โดยมัลแวร์บนโทรศัพท์มือถือที่มีคุณสมบัติ DNS hijacking เคยถูกพบมาก่อนในปี 2016 ซึ่งรายงานจาก Kaspersky ระบุว่าพบโทรจันบน Android ที่มีชื่อว่า Switcher ทำการโจมตีไปยัง wireless router ที่มีอุปกรณ์ที่ถูกโจมตีเชื่อมต่ออยู่ โดยมีเป้าหมายเพื่อแก้ไขการกำหนดค่า DNS เช่นเดียวกัน
โดยนักวิจัยระบุว่า "ผู้ใช้งานที่มีอุปกรณ์ Android ที่ถูกโจมตี หากมีการเชื่อมต่อกับเครือข่าย Wi-Fi สาธารณะ อาจสามารถแพร่กระจายมัลแวร์ไปยังอุปกรณ์อื่น ๆ ในเครือข่ายได้
หากเครือข่าย Wi-Fi ที่ทำการเชื่อมต่ออยู่นั้นมีช่องโหว่ให้สามารถทำได้"
ที่มา : thehackernews
You must be logged in to post a comment.