พบผู้ไม่หวังดีที่มุ่งเป้าไปยัง Cryptocurrency wallets เพื่อแพร่กระจายมัลแวร์ Clipboard-stealing ที่มีความสามารถในการแพร่กระจายตัวเองได้ และใช้เครือข่าย Tor เพื่อซ่อนการสื่อสาร
แคมเปญนี้มีความเคลื่อนไหวมาตั้งแต่ช่วงเดือนกุมภาพันธ์ที่ผ่านมา โดยอาศัยไฟล์ LNK (shortcut) บน USB drives เพื่อแพร่กระจายมัลแวร์ประเภท Clipper ซึ่งจะคอยเฝ้าดูเนื้อหาในคลิปบอร์ด และสับเปลี่ยน Cryptocurrency wallets addresses ให้เป็นของแฮ็กเกอร์ที่ควบคุมอยู่แทน
นอกจากนี้ มัลแวร์ดังกล่าวยังคอยดักจับ Seed phrases และ Private keys รวมถึงสามารถถ่ายภาพหน้าจอ (Screenshots) เพื่อแอบส่งข้อมูลออกไปผ่านเครือข่าย Tor ได้อีกด้วย
การติดมัลแวร์ และการแพร่กระจายของ Worm
Microsoft ระบุว่า กระบวนการติดมัลแวร์เริ่มต้นขึ้นเมื่อเหยื่อเปิดไฟล์ LNK ซึ่งจะเป็นการทำให้มัลแวร์บน USB drive เริ่มทำงาน จากนั้น Payloads เพิ่มเติมจะถูกดึงมาจากที่อยู่เว็บไซต์ .ONION
มัลแวร์จะสแกนหาไฟล์เอกสารภายในเครื่อง เมื่อพบไฟล์ดังกล่าว มัลแวร์จะทำการซ่อนไฟล์ต้นฉบับ และสร้างไฟล์ Shortcuts ที่เป็นอันตรายที่มีชื่อเดียวกันขึ้นมาแทนที่ ซึ่งจะส่งผลให้มัลแวร์ถูกเรียกใช้งานเมื่อผู้ใช้พยายามจะเปิดเอกสารเหล่านั้น
Worm ตัวนี้จะสร้าง Scheduled task เพื่อคอยเฝ้าดูอุปกรณ์ USB storage ที่เชื่อมต่อเข้ามาใหม่ เมื่อมีการเชื่อมต่อ USB drive มัลแวร์จะคัดลอกตัวเองลงในอุปกรณ์นั้น และสร้างไฟล์ Shortcut ที่เป็นอันตรายเพิ่มเติมต่อไป
มัลแวร์ Data stealer
ส่วนประกอบที่ทำหน้าที่ขโมยข้อมูลในมัลแวร์จะเริ่มทำงานหลังจากตรวจสอบพบว่าโปรแกรม Task Manager ไม่ได้เปิดใช้งานอยู่ โดยจะสร้างการเชื่อมต่อเพื่อสื่อสารกับเซิร์ฟเวอร์ C2 ผ่าน Tor executable (ugate.exe)
ในทุก ๆ ครึ่งวินาที มัลแวร์จะตรวจสอบคลิปบอร์ดเพื่อค้นหาข้อมูลดังต่อไปนี้
- Seed phrases แบบ BIP39 จำนวน 12 คำ
- Seed phrases แบบ BIP39 จำนวน 24 คำ
- Private keys ของ Ethereum
- WIF keys ของ Bitcoin
- Wallet addresses ของ Bitcoin แบบ Legacy, P2SH, Bech32 และ Taproot
- Wallet addresses ของ Tron
- Wallet addresses ของ Monero
Addresses ปลายทางที่ถูกสับเปลี่ยนจะถูกเลือกจากตัวเลขหรือตัวอักษรเริ่มต้น เพื่อให้มีความคล้ายคลึงกับ Wallet addresses ของแฮ็กเกอร์บางส่วน ซึ่งช่วยลดโอกาสที่ผู้ใช้จะสังเกตเห็นความผิดปกติเมื่อมองผ่าน ๆ อย่างรวดเร็ว
นอกเหนือจากการคอยเฝ้าดูคลิปบอร์ดแล้ว มัลแวร์ดังกล่าวยังทำการบันทึกภาพหน้าจอของเหยื่อจำนวน 5 ภาพในทุก ๆ 10 วินาที และส่งไปยังเซิร์ฟเวอร์ C2 โดยใช้เครื่องมือ curl
Microsoft ระบุว่า มัลแวร์นี้ยังรองรับ Remote code execution ซึ่งสามารถสั่งการได้ผ่านคำสั่ง EVAL จากเซิร์ฟเวอร์ C2 โดยเฉพาะอย่างยิ่ง มัลแวร์จะดาวน์โหลดสคริปต์ JavaScript ลงในไฟล์ที่ชื่อว่า ‘cfile’ และสั่งรันไฟล์นั้นบนเครื่องที่ติดมัลแวร์
นักวิจัยระบุว่า สัญญาณที่แสดงให้เห็นการติดมัลแวร์ที่ชัดเจนที่สุดคือพฤติกรรมการทำงานมากกว่าการตรวจจับจากฐานข้อมูลมัลแวร์ (Signature-based) โดยแนะนำให้เฝ้าระวังกิจกรรมของโปรเซสบน wscript.exe และ cscript.exe การถูกเรียกใช้งานอย่างผิดปกติของ curl, PowerShell และ cmd.exe รวมถึงโปรเซส Child ที่ผิดปกติ
นอกจากนี้ การเชื่อมต่อไปยัง ‘localhost:9050’ และกิจกรรมที่เกี่ยวข้องกับ Tor proxy ยังถือเป็นสัญญาณเตือนภัยสำคัญที่เชื่อมโยงกับแคมเปญการโจมตีนี้อีกด้วย
ที่มา : bleepingcomputer
You must be logged in to post a comment.