มัลแวร์ตัวใหม่ที่ชื่อว่า 'LOBSHOT' ซึ่งเผยแพร่ผ่านทางโฆษณาของ Google ทำให้ผู้โจมตีสามารถเข้าควบคุมอุปกรณ์ Windows ได้โดยการใช้ hVNC
เมื่อต้นปีที่ผ่านมา BleepingComputer และนักวิจัยด้านความปลอดภัยในโลกไซเบอร์จำนวนมากรายงานว่า มีผู้โจมตีกำลังใช้โฆษณาบน Google เพื่อแพร่กระจายมัลแวร์ในผลการค้นหา โดยแคมเปญโฆษณาเหล่านี้เลียนแบบเว็บไซต์สำหรับ 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus และแอปพลิเคชันอื่น ๆ อีกมากมาย
โดยมัลแวร์ที่ถูกนำมาใช้ผ่านแคมเปญดังกล่าวคือ Gozi, RedLine, Vidar, Cobalt Strike, SectoRAT และ Royal Ransomware โดยนักวิจัยจาก Elastic Security Labs เปิดเผยการพบโทรจันตัวใหม่ชื่อ LOBSHOT ซึ่งถูกเผยแพร่ผ่านทาง Google Ads ว่าเป็นซอฟแวร์สำหรับการเข้าถึงจากระยะไกล เช่น AnyDesk แต่แท้จริงแล้วเป็นการนำไปสู่ AnyDesk ปลอมที่เว็บไซต์ amydeecke[.]website
ขั้นตอนการโจมตี
- ผู้โจมตีจะใช้ไฟล์ MSI ที่เป็นอันตรายซึ่งเรียกใช้คำสั่ง PowerShell เพื่อดาวน์โหลด DLL จาก download-cdn[.]com ซึ่งเป็นโดเมนที่เกี่ยวข้องกับกลุ่มแรนซัมแวร์ TA505/Clop ในอดีต โดยไฟล์ DLL ที่ดาวน์โหลดมาคือมัลแวร์ LOBSHOT และจะถูกบันทึกลงในโฟลเดอร์ C:\ProgramData จากนั้นจะถูกเรียกใช้โดย RunDLL32.exe
- เมื่อดำเนินการแล้ว มัลแวร์จะตรวจสอบว่า Microsoft Defender กำลังทำงานอยู่หรือไม่ และหากตรวจพบ ให้ยุติการดำเนินการเพื่อป้องกันการตรวจจับ แต่หากตรวจไม่พบ Defender มัลแวร์จะ configure Registry ให้เริ่มทำงานโดยอัตโนมัติเมื่อเข้าสู่ระบบ Windows จากนั้นจึงส่งข้อมูลระบบจากอุปกรณ์ที่ติดมัลแวร์ รวมถึง Process ที่กำลังรันอยู่
- มัลแวร์จะตรวจสอบการใช้งานกระเป๋าเงิน cryptocurrency ที่กำหนดไว้บน Chrome ทั้งหมด 32 รายการ กระเป๋าเงิน Edge 9 รายการ และกระเป๋าเงิน Firefox 11 รายการ
- หลังจากนั้นมัลแวร์จะสั่งรันไฟล์ใน C:\ProgramData แต่อย่างไรก็ตาม เนื่องจากไม่มีไฟล์ดังกล่าวในการวิเคราะห์ Elastic จึงยังระบุไม่ได้ว่าไฟล์ดังกล่าวใช้เพื่อขโมยข้อมูล หรือเพื่อวัตถุประสงค์อื่น ๆ นอกจากนี้ยังพบว่ามัลแวร์มีโมดูล hVNC ที่ทำให้ผู้โจมตีสามารถเข้าถึงอุปกรณ์ที่ติดมัลแวร์จากระยะไกลได้อย่างเงียบ ๆ
Elastic Security Labs รายงานว่า "นักวิจัยพบตัวอย่างของมัลแวร์ LOBSHOT ที่ไม่ซ้ำกันกว่า 500 ตัวอย่างตั้งแต่เดือนกรกฎาคมปีที่แล้ว ตัวอย่างที่สังเกตได้รับการคอมไพล์เป็น 32-bit DLLs หรือ 32-bit executables ซึ่งโดยทั่วไปแล้วจะมีขนาดประมาณ 93 KB ถึง 124 KB"
การควบคุมอุปกรณ์ของเหยื่อแบบเงียบ ๆ
- hVNC (hidden virtual network computing) เป็นซอฟต์แวร์สำหรับการเข้าถึงจากระยะไกล ที่ถูกแก้ไขเพื่อเข้าควบคุมเดสก์ท็อปที่ซ่อนอยู่บนเครื่องที่ติดมัลแวร์ แทนที่จะเป็นเดสก์ท็อปของเครื่องหลักที่เหยื่อใช้งานอยู่ ซึ่งทำให้ผู้โจมตีสามารถควบคุมคอมพิวเตอร์เดสก์ท็อป Windows จากระยะไกลโดยที่เหยื่อไม่รู้ตัว
- LOBSHOT ปรับใช้โมดูล hVNC ที่ช่วยให้ผู้โจมตีสามารถควบคุมเดสก์ท็อปที่ซ่อนอยู่โดยใช้เมาส์ และแป้นพิมพ์ราวกับว่าผู้โจมตีใช้งานอยู่หน้าจอด้วย
Elastic รายงานว่า "ในขั้นตอนนี้ อุปกรณ์ของเหยื่อจะเริ่มส่งภาพหน้าจอที่แสดงเดสก์ท็อปที่ซ่อนอยู่ไปยังไคลเอ็นต์ที่ถูกควบคุมโดยผู้โจมตี ซึ่งเครื่องของไคลเอ็นต์นั้นถูกควบคุมแป้นพิมพ์ การคลิกปุ่ม และการเลื่อนเมาส์ ทำให้ควบคุมจากระยะไกลได้อย่างสมบูรณ์" นอกจากใช้ hVNC ควบคุมเครื่องของเหยื่อได้แล้ว ยังสามารถดำเนินการคำสั่งขโมยข้อมูล หรือแม้แต่ปรับใช้เพย์โหลดของมัลแวร์อื่น ๆ เพิ่มเติมได้อีกด้วย และเนื่องจาก AnyDesk เป็นที่นิยมในกลุ่มบริษัทต่าง ๆ จึงมีแนวโน้มว่ามัลแวร์จะถูกใช้สำหรับเข้าถึงเครือข่ายองค์กร และแพร่กระจายไปยังอุปกรณ์อื่น ๆ ในวงกว้างได้
ที่มา : bleepingcomputer
You must be logged in to post a comment.