Silence – a new Trojan attacking financial organizations

เมื่อเดือนกันยายนที่ผ่านมา พบว่ามีการโจมตีสถาบันการเงินโดยการใช้ Trojan เหยื่อผู้เคราะห์ร้ายส่วนใหญ่เป็นธนาคารของรัสเซีย แต่ยังพบว่ามีองค์กรที่ถูกโจมตีอยู่ในมาเลเซียและอาร์เมเนียด้วย ผู้โจมตีใช้วิธีการเข้าถึงเครือข่ายภายในธนาคาร จากนั้นจึงทำการแฝงตัวอยู่ในระบบเป็นระยะเวลานาน เพื่อทำการบันทึกวิดีโอเกี่ยวกับกิจกรรมประจำวันบนเครื่องของพนักงาน และศึกษาพฤติกรรมการทำงานต่างๆในธนาคารเป้าหมาย ดูว่ามีการใช้ Software ใดบ้างในระบบ และใช้ข้อมูลที่ได้มานั้นในการขโมยเงินให้มากที่สุด
ลักษณะการแพร่กระจายจะเริ่มจากการเข้าถึงระบบของธนาคาร แล้วใช้ Email ของพนักงานในการส่ง Email Phishing เพื่อทำการขอเปิดบัญชี โดย Email ที่ส่งไปนั้นจะแนบไฟล์รูปแบบ "Microsoft Compiled HTML Help" โดยมีนามสกุลไฟล์คือ .CHM ที่สามารถใส่คำสั่ง JavaScript ทำการ redirect ผู้ใช้ไปที่ URL ภายนอกได้ หลังจากเมื่อเปิดไฟล์ที่แนบมาจะทำการดาวน์โหลดและดำเนินขั้นตอนอื่นๆต่อไป ทั้งนี้ dropper ที่พบ จะเป็น win32 binary ไฟล์ และหน้าที่หลักคือการสื่อสารกับ C&C เพื่อส่ง ID ของเครื่องที่ติด, ดาวน์โหลด และสั่งให้ payload ทำงาน

ที่มา : Securelist