ผู้โจมตีกำลังมุ่งเป้าไปที่แฮ็กเกอร์มือใหม่ที่เรียกว่า "script kiddies" โดยใช้เครื่องมือสร้างมัลแวร์ปลอมที่ถูกซ่อนมัลแวร์ไว้ เพื่อให้คอมพิวเตอร์ของคนเหล่านั้นติดตั้ง backdoor เพื่อขโมยข้อมูล และเข้าควบคุมคอมพิวเตอร์
จากการรายงานของนักวิจัยด้านความปลอดภัยจาก CloudSEK พบว่า มัลแวร์นี้ได้แพร่กระจายไปยังอุปกรณ์มากถึง 18,459 เครื่องทั่วโลก โดยส่วนใหญ่จะพบในประเทศรัสเซีย, สหรัฐอเมริกา, อินเดีย, ยูเครน และตุรกี
รายงาน CloudSEK ยังระบุว่า เวอร์ชันที่ถูกดัดแปลงของเครื่องมือ XWorm RAT ถูกนำมาใช้ในการโจมตีครั้งนี้ และได้ถูกเผยแพร่ไปยังผู้ใช้งานจำนวนมาก
"มันถูกออกแบบมาเพื่อโจมตีโดยเฉพาะกับกลุ่ม script kiddies ที่เป็นมือใหม่ในด้านความปลอดภัยทางไซเบอร์ และมักจะดาวน์โหลดเครื่องมือต่าง ๆ แล้วใช้ทันที ซึ่งก็แสดงให้เห็นว่าแม้แต่ในกลุ่มแฮ็กเกอร์เองก็ไม่มีความซื่อสัตย์ต่อกัน"
นักวิจัยจาก CloudSEK พบว่า มัลแวร์นี้มีฟังก์ชันที่เรียกว่า ‘kill switch’ ซึ่งสามารถลบมัลแวร์ออกจากเครื่องที่ติดมัลแวร์หลายเครื่องได้ แต่ยังมีบางเครื่องที่ยังคงถูกโจมตีอยู่ เนื่องจากมีข้อจำกัดในการดำเนินการ
เครื่องมือสร้าง RAT ปลอมหลอกติดตั้งมัลแวร์
นักวิจัยระบุว่า พวกเขาพบเครื่องมือสร้าง XWorm RAT ที่ถูกดัดแปลงเป็น Trojan กำลังถูกเผยแพร่ผ่านช่องทางต่าง ๆ เช่น GitHub repositories, แพลตฟอร์ม file hosting, ช่อง Telegram, วิดีโอใน YouTube และเว็บไซต์ต่าง ๆ
ช่องทางเหล่านี้ถูกใช้โปรโมตเครื่องมือสร้าง RAT โดยอ้างว่าเครื่องมือนี้จะช่วยให้ผู้โจมตีคนอื่นสามารถใช้มัลแวร์ได้โดยไม่ต้องจ่ายเงิน
แทนที่จะเป็นเครื่องมือสร้าง XWorm RAT จริง ๆ มันกลับแอบติดตั้งมัลแวร์ในอุปกรณ์ของพวกเขา
เมื่อคอมพิวเตอร์ติดมัลแวร์ มันจะตรวจสอบ Windows Registry ว่าเครื่องนั้นทำงานในสภาพแวดล้อม virtualized หรือไม่ ถ้าพบว่ามันทำงานในเครื่อง virtual มันจะหยุดทำงาน แต่ถ้าพบว่าไม่ใช่ มันจะทำการเปลี่ยนแปลงบางอย่างในระบบเพื่อให้มันยังคงทำงานได้ทุกครั้งที่เปิดเครื่องใหม่
ทุกระบบที่ติดมัลแวร์จะถูก register กับเซิร์ฟเวอร์ที่ใช้ Telegram เป็นระบบควบคุมคำสั่ง (C2) โดยใช้ Telegram bot ID และโทเค็นที่ฝังไว้ในตัวมัลแวร์
มัลแวร์ยังสามารถขโมยโทเค็นของ Discord, ข้อมูลระบบ และข้อมูลตำแหน่ง (จาก IP address) โดยอัตโนมัติ และส่งข้อมูลเหล่านั้นไปยังเซิร์ฟเวอร์ C2 แล้วรอคำสั่งอื่น ๆ จากผู้โจมตี
จากคำสั่งทั้งหมด 56 คำสั่ง ตัวอย่างต่อไปนี้คือคำสั่งที่เป็นอันตรายโดยเฉพาะ:
- /machine_id*browsers - ขโมยรหัสผ่านที่บันทึกไว้, คุกกี้ และ autofill data จากเว็บเบราว์เซอร์
- /machine_id*keylogger - บันทึกทุกสิ่งที่เหยื่อพิมพ์บนคอมพิวเตอร์
- /machine_id*desktop - จับภาพหน้าจอของเหยื่อในขณะที่กำลังใช้งาน
- /machine_id*encrypt<password>{*} - เข้ารหัสไฟล์ทั้งหมดในระบบด้วยรหัสผ่านที่กำหนด
- /machine_id*processkill<process>* - ปิดการทำงานของโปรแกรมที่กำลังทำงานอยู่ รวมถึงซอฟต์แวร์รักษาความปลอดภัย
- /machine_id*upload<file>* - ขโมยไฟล์ที่ระบุไว้โดยเฉพาะจากระบบที่ติดมัลแวร์
- /machine_id*uninstall - ถอนการติดตั้งมัลแวร์จากอุปกรณ์
CloudSEK พบว่า ผู้โจมตีได้ขโมยข้อมูลจากอุปกรณ์ที่ติดมัลแวร์ประมาณ 11% โดยส่วนใหญ่จะเป็นการจับภาพหน้าจอของอุปกรณ์ที่ติดมัลแวร์ และขโมยข้อมูลจากเบราว์เซอร์
การหยุดการทำงานด้วย kill switch
นักวิจัยจาก CloudSEK ได้ใช้เครื่องมือพิเศษที่ฝังอยู่ในมัลแวร์เพื่อหยุดการทำงานของเครือข่ายคอมพิวเตอร์ที่ถูกโจมตี (Botnet) โดยการใช้ API token ที่ถูกตั้งค่าไว้ล่วงหน้า และฟังก์ชัน kill switch ที่สามารถลบมัลแวร์ออกจากเครื่องที่ติดมัลแวร์ได้
เพื่อทำเช่นนี้ พวกเขาส่งคำสั่งถอนการติดตั้งจำนวนมากไปยังเครื่องที่กำลังเชื่อมต่อทั้งหมด โดยการวนผ่าน ID เครื่องทั้งหมดที่พวกดึงออกมาจาก Telegram logs ที่มีอยู่ก่อนหน้านี้ พวกเขายังใช้วิธีการ brute-force โดยการเดาหมายเลขเครื่องจาก 1 ถึง 9999 โดยคาดเดาว่าหมายเลขเครื่องจะเป็นลำดับตัวเลข
แม้ว่าคำสั่งที่ส่งไปจะช่วยลบมัลแวร์จากเครื่องที่ติดมัลแวร์ได้หลายเครื่อง แต่เครื่องที่ไม่ได้ออนไลน์ตอนที่ส่งคำสั่งจะยังคงติดมัลแวร์อยู่
นอกจากนี้ Telegram มีการจำกัดจำนวนข้อความที่สามารถส่งได้ในแต่ละช่วงเวลา ทำให้คำสั่งถอนการติดตั้งบางคำสั่งอาจหายไประหว่างทาง
การที่แฮ็กเกอร์โจมตีแฮ็กเกอร์เป็นสถานการณ์ที่เราเห็นได้บ่อยในโลกไซเบอร์
บทเรียนจากการค้นพบของ CloudSEK คือ อย่าไว้ใจซอฟต์แวร์ที่ไม่ได้รับการรับรอง โดยเฉพาะซอฟต์แวร์ที่ถูกเผยแพร่โดยอาชญากรไซเบอร์รายอื่น และควรติดตั้งเครื่องมือสร้างมัลแวร์ในสภาพแวดล้อมที่ใช้ทดสอบ หรือวิเคราะห์เท่านั้น
ที่มา: bleepingcomputer
You must be logged in to post a comment.