เมื่อสองวันที่ผ่านมา Microsoft ตรวจพบการแพร่กระจายตัวที่รวดเร็วของ Cryptocurrency-Mining Malware ซึ่งมีเครื่องที่ตกเป็นเหยื่อเกือบ 500,000 เครื่องในช่วงเวลา 12 ชั่วโมง แต่ทาง Microsoft ก็ได้ทำการหยุดการแพร่ได้สำเร็จก่อนที่จะกระจายตัวไปมากกว่านี้ Malware ดังกล่าวชื่อว่า Dofoil หรือที่รู้จักกันในชื่อ Smoke Loader ทำการติดตั้งตัวโปรแกรมที่ใช้ขุดเหรียญดิจิตอล (Cryptocurrency Miner Program) ลงบนเครื่องของเหยื่อเพื่อขุดเหรียญ Electroneum เมื่อวันที่ 6 มีนาคม 2018 ที่ผ่านมา โปรแกรม Window Defender ของ Microsoft ตรวจพบเหตุการณ์พฤติกรรมของ Dofoil มากกว่า 80,000 ครั้ง ซึ่งเป็นเหตุการณ์สำคัญสำหรับแผนกวิจัยที่ "Microsoft Windows Defender Research Department" และในอีก 12 ชั่วโมงต่อมาก็พบอีกกว่า 400,000 เหตุการณ์ที่บันทึกได้

ทีมนักวิจัยพบว่าเหตการณ์เหล่านี้ที่แพร่กระจายอย่างรวดเร็ว ผ่านประเทศรัสเซีย ตุรกี และยูเครน กำลังขนตัวติดตั้งโปรแกรมขุดเหรียญไปด้วย ซึ่งจะหลอกตัวโปรแกรมตรวจจับว่าเป็นไฟล์ไบนารีของ Windows อย่างไรก็ตามทาง Microsoft ไม่ได้ออกมาชี้แจงถึงสาเหตุว่าทำไมถึงมีการกระจายตัวไปมากขนาดนี้ Dofoil จะใช้แอพพลิเคชันที่ปรับแต่งขึ้นมาเพื่อให้สามารถขุดเหรียญได้หลายชนิด แต่ในครั้งนี้ถูกโปรแกรมมาเพื่อขุดเหรียญ Electroneum เท่านั้น สืบเนื่องจากข้อมูลของนักวิจัย Dofoil จะใช้เทคนิค code injection เก่าเรียกว่า "Process Hollowing" เป็นการสร้างกระบวนการทำงานปลอมขึ้นมาเพื่อหลอกเครื่องมือตรวจจับว่าเครื่องยังทำงานปกติอยู่ ต่อมาไฟล์ explorer.

ช่องโหว่ โดยมีจุดประสงค์เพื่อแพร่กระจายมัลแวร์ขุด Monero "DDG" คาดมีจำนวนกว่า 4,000 เซิร์ฟเวอร์ สร้างรายได้กว่าเกือบ 1 ล้านดอลลาร์

อ้างอิงผลการสำรวจของ Netlab การโจมตีในครั้งนี้นั้นดูเหมือนจะมีจุดเริ่มต้นมาตั้งแต่ช่วงเดือนมีนาคม 2017 โดยผู้โจมตีนั้นพุ่งเป้าไปที่การเดารหัสผ่านสำหรับเซิร์ฟเวอร์ที่เป็น Redis และโจมตีด้วยช่องโหว่รหัส CVE-2017-11467 เพื่อให้สามารถรันโค้ดที่เป็นอันตรายได้กับเป้าหมายที่เป็น OrientDB จากสถิติการโจมตีที่รวบรวมมาได้นั้น 73% ของเซิร์ฟเวอร์ที่ถูกโจมตีนั้นอยู่ในจีนซึ่งส่วนแบ่งที่มีมากที่สุดนั้นมาจากเซิร์ฟเวอร์ที่เป็น Redis

เพื่อเป็นการป้องกันการแพร่กระจายของมัลแวร์ ผู้ดูแลระบบและผู้ใช้งานควรมีการปฏิบัติการ security best practice อย่างเคร่งครัด โดยสำหรับ Redis นั้น สามารถดำเนินการตามขั้นตอนแนะนำได้ที่ https://redis.

พบมัลแวร์ Digmine ซึ่งติดตั้ง Monero cryptocurrency miner และ Chrome extension ที่เป็นอันตรายโดยแพร่กระจายไปยังเหยื่อรายใหม่ผ่าน Facebook Messenger โดยเหยื่อจะได้รับไฟล์ชื่อ video_xxxx.

MalwareBytes เผยเทคนิคสคริปต์ขุดบิทคอยน์ที่ทำงานได้แม้จะปิดโปรแกรมเบราว์เซอร์ไปแล้ว

Jérôme Segura นักวิเคราะห์มัลแวร์จาก MalwareBytes ได้มีการเผยแพร่ผลการวิเคราะห์มัลแวร์รวมไปถึงเทคนิคใหม่ที่มัลแวร์ขุดบิทคอยน์ใช้งานเพื่อให้มัลแวร์สามารถทำงานได้แม้ผู้ใช้งานจะมีการปิดโปรแกรมเว็บเบราว์เซอร์ไปแล้ว

โดยปกตินั้นมัลแวร์ขุดบิทคอยน์หรือขุดสกุลเงินดิจิตอลอื่นๆ นั้นอาศัยจังหวะที่ผู้ใช้งานเปิดหน้าเว็บไซต์ที่มีสคริปต์อันตรายฝังอยู่ซึ่งจะเริ่มทำการขุดทันที ส่งผลให้ระบบของผู้ใช้นั้นช้าลงเนื่องจากทรัพยากรของระบบส่วนใหญ่ถูกใช้โดยไปโดยมัลแวร์ อย่างไรก็ตามหากผู้ใช้งานทำการปิดหน้าเพจของเว็บไซต์ที่มีการฝังสคริปต์อันตรายนั้นไปหรือทำการปิดโปรแกรมเว็บเบราว์เซอร์ สคริปต์อันตรายดังกล่าวก็จะถูกหยุดการทำงาน

อย่างไรก็ตาม Segura ค้นพบว่า มัลแวร์ขุดบิทคอยน์มีการใช้งานฟีเจอร์ของเว็บเบราว์เซอร์ฟีเจอร์หนึ่งชื่อ Pop-under โดยฟีเจอร์ดังกล่าวนั้นมักถูกใช้งานในการแสดงโฆษณาโดยบังคับให้มีการเรียกโฆษณาขึ้นมาและซ่อนการแสดงผลโฆษณาดังกล่าวไว้เบื้องหลังไม่ให้ผู้ใช้งานเห็นในทันที

สิ่งที่มัลแวร์ทำนั้นคือเมื่อผู้ใช้งานทำการคลิกที่จุดใดๆ ของเว็บเพจ (จำเป็นต้องมีการคลิกก่อนเนื่องจากเบราว์เซอร์รุ่นใหม่บังคับให้การใช้งาน Pop-under จำเป็นต้องมี user interaction) สคริปต์จะทำการสร้างหน้าต่างใหม่เบื้องหลังหน้าเว็บเพจนั้น และทำการแก้ไขขนาดของหน้าต่างใหม่ให้สามารถซ่อนอยู่เบื้องหลังของ taskbar บริเวณขอบขวาล่างของหน้าจอทันทีโดยที่ผู้ใช้งานไม่ทันสังเกต

Recommendation

MalwareBytes แนะนำให้ผู้ใช้งานตรวจสอบการทำงานของแต่ละโปรเซสหากพบอาการของระบบที่ผิดปกติ และถ้าเจอโปรเซสใดโปรเซสหนึ่งของระบบที่มีการใช้งานทรัพยากรที่ผิดปกติ ให้ดำเนินการปิดทันที เพราะโปรเซสดังกล่าวอาจเป็นโปรเซสที่เกี่ยวข้องกับหน้าต่างที่ซ่อนอยู่ก็เป็นไปได้

ที่มา : thehackernews , malwarebytes

หลายเดือนก่อน มีการค้นพบมัลแวร์ชื่อว่า "RETADUP" ที่ถูกใช้โจมตีในโรงพยาบาลอิสราเอล จากการตรวจสอบพบ Android มัลแวร์ที่ชื่อว่า "GhostCtrl" ในระบบ โดยจะถูกใช้ในการโจมตี หรือโจรกรรมข้อมูล ในขณะเดียวกันก็ได้พบว่ามีการโจมตีเกิดขึ้นในโซนอเมริกาใต้ ซึ่งพบว่าเป็นมัลแวร์ตระกูลเดียวกับ RETADUP ที่พบมาก่อนหน้านี้ แต่มีจุดประสงค์เพื่อโจมตีเป้าหมายเพียงอย่างเดียว ไม่ได้ต้องการที่จะโจรกรรมข้อมูลแต่อย่างไร เชื่อว่ามัลแวร์กลุ่มนี้น่าจะเน้นการโจมตีเฉพาะเป้าหมายที่เป็นกลุ่มอุตสาหกรรม และรัฐบาล และยังไม่พบหลักฐานว่ามีการซื้อขายมัลแวร์ดังกล่าวในตลาดมืด

ในระบบที่ติดมัลแวร์ "RETADUP" นี้ จะพบเครื่องมือที่ใช้ในการขุดสกุลเงินดิจิตอล(cryptocurrency) ที่หลากหลายแตกต่างกันออกไป ในอดีต RETADUP จะใช้เครื่องมือที่ชื่อว่า "cpuminer-multi" ซึ่งเป็น Opensource ที่ใช้ในการขุดเงินดิจิตอล แต่ในตัวที่พบล่าสุดนี้เป็นการเขียน Code ให้ทำงานโดยตรง และได้มีการปรับพฤติกรรมการทำงานให้แตกต่างกับตัวเก่าออกไปหลายอย่าง เช่น แบ่งการทำงานออกเป็น 2 ส่วน คือส่วนที่ทำให้ติด(Infector) และส่วนการ remote(RAT), มีการใช้ HTTP GET Request ในการรับส่งข้อมูลกับ C&C และพบว่ามีการนำส่วนที่เกี่ยวข้องกับการโจรกรรมข้อมูลออกไป

ทั้งนี้ยังมีข้อสงสัยหลายประการที่ยังไม่สามารถหาคำตอบได้เกี่ยวกับมัลแวร์ตระกูลนี้ เช่น การโจมตีเกิดจากกลุ่ม หรือบุคคลใด, ปัจจัยอะไรบ้างที่ทำให้เกิดการโจมตี, และจุดประสงค์ของการโจมตีที่ยังไม่ชัดเจน ถึงแม้การขุดเงินดิจิตอลจะดูเหมือนเป็นแรงจูงใจที่ดี แต่ตัวบ่งชี้จากเป้าหมายที่ถูกโจมตีนั้นน่าจะเหมาะกับการโจรกรรมข้อมูลมากกว่า

ที่มา:trendmicro