งานวิจัยจาก Unit 42 ของ Palo Alto Networks เปิดเผยว่าพบมัลแวร์ Stealer ตัวใหม่สองเวอร์ชัน โดยเวอร์ชันแรกใช้ไฟล์ Portable Executable (PE) และอีกเวอร์ชันใช้การพัฒนาด้วย PowerShell ซึ่งอาศัยไฟล์ Windows Shortcut (LNK) ที่ปรับแต่งเป็นพิเศษเป็นจุดเริ่มต้นของการโจมตีเพื่อติดตั้ง Dropper แบบหลายขั้นตอน
KimJongRAT เวอร์ชันใหม่มุ่งเป้าโจมตี Crypto Wallets
การโจมตีที่ซับซ้อนครั้งนี้ มีเป้าหมายหลักเพื่อขโมยข้อมูลที่สำคัญของผู้ใช้งาน โดยมุ่งเป้าไปที่ extensions ของ cryptocurrency wallet, ข้อมูลการเข้าสู่ระบบในเว็บเบราว์เซอร์ และข้อมูล system information ซึ่งถือเป็นภัยคุกคามร้ายแรงต่อทั้งบุคคล และองค์กร
การโจมตีเริ่มต้นขึ้นเมื่อผู้ใช้งานดับเบิ้ลคลิกที่ไฟล์ LNK ที่เป็นอันตราย ซึ่งส่วนใหญ่จะปลอมเป็นไฟล์เอกสารที่ดูเหมือนถูกต้องตามปกติ เช่น "Sex Offender Personal Information Notification" ในภาษาเกาหลี
ไฟล์ดังกล่าวโฮสต์อยู่บนบัญชี Content Delivery Network (CDN) ที่ถูกควบคุมโดยผู้ไม่หวังดี เช่น cdn.glitch[.]global ซึ่งจะทำการดาวน์โหลดไฟล์ HTML Application (HTA) ไปยังโฟลเดอร์ %temp% ของ Windows
การโจมตีหลายขั้นตอนที่มีความซับซ้อน
ในเวอร์ชัน PowerShell ไฟล์ HTA ที่ชื่อ 'sfmw.hta' จะ Drop ไฟล์ PDF ที่ปลอมเป็นเอกสารเกี่ยวกับผู้กระทำความผิดทางเพศโดยมีเนื้อหาเป็นภาษาเกาหลี เพื่อเบี่ยงเบนความสนใจของเหยื่อ และในเวลาเดียวกัน มันจะดำเนินการ Extract ไฟล์ ZIP ที่ชื่อ 'pipe.zip' ลงในโฟลเดอร์ %localappdata%
ไฟล์ Archive นี้จะประกอบไปด้วย สคริปต์ PowerShell (1.ps1) ซึ่งทำหน้าที่เป็นตัว Loader เพื่อ decode และเรียกใช้งานสคริปต์มัลแวร์ Stealer และ Keylogger ที่ถูก encoded แบบ Base64 จากไฟล์ logs ที่แนบมา
สคริปต์เหล่านี้จะสร้างช่องทางการแฝงตัวบนระบบ (Persistence) ด้วยการเพิ่มค่าใน Windows Registry และจะเริ่มส่งข้อมูลออกไปยัง C2 Server โดยมุ่งเป้าไปที่ extensions ของ cryptocurrency wallet จำนวนมาก เช่น MetaMask, Trust Wallet, และ Phantom รวมถึงข้อมูล credentials บนเบราว์เซอร์จาก Chrome, Edge และ Firefox
ในส่วนเวอร์ชัน PE จะใช้วิธีการหลายขั้นตอนเช่นเดียวกัน แต่จะใช้ตัว Loader DLL (sys.dll) และเพย์โหลดเพิ่มเติม เช่น main64.log (orchestrator) และ net64.log (Stealer) โดยมุ่งเน้นการขโมยข้อมูลที่กว้างขึ้น รวมถึงข้อมูล Credentials ของ FTP และ อีเมล
ทั้งสองเวอร์ชันใช้บริการ CDN ที่ถูกต้องเพื่อปกปิดการรับส่งข้อมูลที่เป็นอันตราย โดยมีการสื่อสารที่เข้ารหัสด้วยอัลกอริทึม XOR และ RC4 เพื่อหลีกเลี่ยงการตรวจจับ
เวอร์ชัน PowerShell มีการตรวจสอบเพื่อหลีกเลี่ยงการทำงานในสภาพแวดล้อม VM ถึงแม้จะมีข้อผิดพลาดอยู่ แต่ก็แสดงให้เห็นถึงความตั้งใจที่จะหลีกเลี่ยงการวิเคราะห์ใน Sandbox ในขณะที่ฟังก์ชัน Work จะติดต่อกับ C2 Server อย่างต่อเนื่องเพื่ออัปโหลดข้อมูลที่ถูกขโมย และดาวน์โหลดเพย์โหลดเพิ่มเติม
ความสามารถในการปรับตัวนี้ มาพร้อมกับเป้าหมายที่มุ่งเป้าไปที่ทรัพย์สินที่เกี่ยวข้องกับคริปโทเคอร์เรนซี แสดงให้เห็นถึงความพยายามอย่างต่อเนื่องของผู้พัฒนาในการพัฒนาความสามารถของ KimJongRAT ตั้งแต่ปี 2019 โดยมีตัวอย่างใหม่ล่าสุดที่พบในเดือนกันยายน 2024 และมีการอัปเดตล่าสุดในเดือนมีนาคม 2025
ที่มา : gbhackers
You must be logged in to post a comment.