แคมเปญฟิชชิ่งใหม่ที่มุ่งเป้าไปที่องค์กรต่าง ๆ ในยุโรปตะวันออกด้วยมัลแวร์ Remcos RAT ด้วยการใช้เทคนิคการ Bypass Windows UAC ** (User Account Control) โดยการใช้ mock trusted directory ที่ถูกพบตั้งแต่เมื่อ 3 ปีก่อน แต่ก็ยังคงถูกนำมาใช้งานอยู่ในปัจจุบัน
โดยแคมเปญการโจมตีของ Remcos ล่าสุด ถูกพบ และวิเคราะห์โดยนักวิจัยของ SentinelOne ซึ่งบันทึกรายละเอียดไว้ในรายงานที่เผยแพร่ในวันนี้ (6 มีนาคม 2566)
การโจมตีเริ่มต้นจากการส่งอีเมลฟิชชิ่งจากโดเมนที่ตรงกับโดเมนที่ใช้ในประเทศของผู้รับ โดยที่ในอีเมลจะไม่มีรายละเอียดอะไรมากนัก แต่จะมีข้อความในลักษณะเป็นใบแจ้งหนี้ เอกสารประกวดราคา และเอกสารทางการเงินอื่น ๆ ทำให้อีเมลลักษณะนี้ดึงดูดความสนใจของผู้รับเพื่อให้ความสนใจกับไฟล์แนบ tar.lz ที่ภายในมีไฟล์ DBatLoader
การเลือกรูปแบบไฟล์ลักษณะนี้(tar.lz) อาจจะทำให้จำนวนผู้ใช้งานที่หลงเชื่อแล้วเปิดไฟล์แนบน้อยลงก็จริง แต่ก็จะช่วยหลีกเลี่ยงการตรวจจับจากซอฟต์แวร์ป้องกันมัลแวร์ และอุปกรณ์ด้านความปลอดภัยสำหรับอีเมล
- ขั้นตอนแรกของมัลแวร์จะปลอมแปลงเป็นเอกสาร Microsoft Office, LibreOffice หรือ PDF เพื่อหลอกให้เหยื่อเปิดไฟล์
- ขั้นตอนที่สองหลังจากเหยื่อเปิดไฟล์ขึ้นมา มัลแวร์จะถูกดาวน์โหลดมาจากบริการคลาวด์ต่าง ๆ เช่น Microsoft OneDrive หรือ Google Drive
Sentinel One รายงานว่ามีกรณีหนึ่ง บริการคลาวด์ถูกใช้ในการแพร่กระจายไฟล์ DBatLoader
ของมัลแวร์มามากกว่าหนึ่งเดือน แม้ว่าจะยังไม่ชัดเจนว่าแฮ็กเกอร์ใช้บัญชีของตนเอง หรือบัญชีขโมยมา
ก่อนการติดตั้ง Remcos RAT นั้น DBatLoader จะสร้าง และเรียกใช้สคริปต์บน Windows เพื่อใช้วิธีการ bypass Windows UAC ที่ถูกพบครั้งแรกในปี 2563
โดยวิธีการนี้ถูกพบครั้งแรกบน Windows 10 โดย Daniel Gebert นักวิจัยด้านความปลอดภัย ซึ่งพบการใช้วิธีการ DLL hijacking และ mock trusted directories ร่วมกันเพื่อ bypass Windows UAC และเรียกใช้งานโค้ดที่เป็นอันตรายโดยที่ผู้ใช้งานไม่รู้ตัว
Windows UAC เป็นระบบป้องกันที่ Microsoft ใช้มาตั้งแต่ Windows Vista โดยจะมีข้อความให้ผู้ใช้งานยืนยันการทำงานของแอปพลิเคชันที่อาจมีความเสี่ยง
แต่บางโฟลเดอร์บน Windows เช่น C:\Windows\System32\ จะได้รับอนุญาตให้แอปพลิเคชันทำงานได้อัตโนมัติโดยไม่แสดงข้อความแจ้งจาก UAC ทำให้ผู้โจมตีใช้วิธีการ mock trusted directories โดยการจำลองโฟลเดอร์เป็น "C:\Windows \System32" (มีช่องว่างเพิ่มเติมหลังจาก C:\Windows) ทำให้บางโปรแกรมของ Windows เช่น File Explorer มองว่า "C:\Windows" และ "C:\Windows " เป็นโฟลเดอร์เดียวกัน ดังนั้นจึงทำให้ระบบปฏิบัติการเชื่อว่า C:\Windows \System32 เป็นโฟลเดอร์ที่เชื่อถือได้ และอนุญาตให้แอปพลิเคชันทำงานได้อัตโนมัติโดยไม่แสดงข้อความแจ้งจาก UAC
โดยสคริปต์ที่ถูกใช้โดย DBatLoader ก็จะมีการสร้างโฟลเดอร์ในลักษณะเดียวกัน คือ "C:\Windows \System32" และคัดลอกไฟล์ที่เป็นการใช้งานปกติอย่าง ("easinvoker.exe") และ DLLs ที่เป็นอันตราย ("netutils.dll" ) ไปไว้ในโฟลเดอร์ดังกล่าว
SentinelOne ระบุว่า "easinvoker.exe เป็นไฟล์ที่ถูกนำมาใช้ในการโจมตีแบบ DLL hijacking เพื่อให้รันไฟล์ netutils.dll ที่เป็นอันตรายแทน ทำให้มัลแวร์สามารถเพิ่มสคริปต์ที่เป็นอันตรายอย่าง ("KDECO.bat") ที่ซ่อนอยู่ใน DLL ไปยัง exclusion list ของ Microsoft Defender จากนั้นจึงสามารถติดตั้ง Remcos และแฝงตัวอยู่บนระบบโดยการสร้างคีย์รีจิสทรีขึ้นมาใหม่
ที่มา : bleepingcomputer
You must be logged in to post a comment.