แคมเปญฟิชชิ่งใหม่ที่มีการใช้ไฟล์ CSV ที่ถูกสร้างขึ้นเพื่อทำให้อุปกรณ์ของผู้ใช้ติดมัลแวร์ BazarBackdoor

ไฟล์ที่คั่นด้วยเครื่องหมายจุลภาค (CSV) เป็นไฟล์ที่มีคอลัมน์ของข้อมูลที่จะถูกคั่นด้วยเครื่องหมายจุลภาค ซึ่งในหลายกรณี ข้อความบรรทัดแรกคือส่วนหัวหรือคำอธิบายสำหรับข้อมูลในแต่ละคอลัมน์

การใช้ CSV เป็นวิธีที่นิยมในการส่งออกข้อมูลจากแอปพลิเคชัน ที่สามารถนำเข้าสู่โปรแกรมอื่นได้ ไม่ว่าจะเป็น Excel,โปรแกรมจัดการรหัสผ่านไปจนถึงซอฟต์แวร์ที่ใช้เรียกเก็บเงิน

เนื่องจาก CSV เป็นเพียงข้อความที่ไม่มีโค้ดคำสั่ง หลายคนจึงมองว่าไฟล์ประเภทนี้ไม่เป็นอันตราย และเปิดใช้งานได้อย่างไม่ต้องกังวล

อย่างไรก็ตาม Microsoft Excel ที่มีการรองรับฟีเจอร์ที่เรียกว่า Dynamic Data Exchange (DDE) สามารถใช้เพื่อรันคำสั่งที่มีเอาต์พุตป้อนลงในโปรแกรม spreadsheet ที่เปิดอยู่ รวมไปถึงไฟล์ CSV ที่ผู้ไม่หวังดีสามารถใช้ฟีเจอรืนี้เพื่อรันคำสั่งที่ดาวน์โหลด และติดตั้งมัลแวร์ได้โดยที่เหยื่อไม่สงสัย

ไฟล์ CSV ที่ใช้ DDE เพื่อติดตั้ง BazarBackdoor

แคมเปญฟิชชิ่งใหม่ที่ค้นพบโดยนักวิจัยด้านความปลอดภัย Chris Campbell กำลังถูกใช้เพื่อติดตั้งโทรจัน BazarLoader/BazarBackdoor บนไฟล์ CSV ที่เป็นอันตราย โดย BazarBackdoor เป็นมัลแวร์ที่สร้างขึ้นโดยกลุ่ม TrickBot เพื่อให้ผู้บุกรุกเข้าถึงอุปกรณ์ภายในจากระยะไกล และยังสามารถใช้เป็นช่องทางในการเข้าถึงข้อมูลภายในเครือข่ายได้

อีเมลฟิชชิงปลอมเป็นลักษณะ "คำแนะนำการโอนเงิน" พร้อมทั้งลิงค์ไปดาวน์โหลดไฟล์ CSV ที่มีชื่อคล้ายกับ "document-21966.csv"

เช่นเดียวกับไฟล์ CSV ปกติ ไฟล์ document-21966.csv เป็นเพียงไฟล์ข้อความ โดยมีคอลัมน์ของข้อมูลคั่นด้วยเครื่องหมายจุลภาค ตามรูปภาพด้านล่าง

ผู้เชี่ยวชาญสังเกตเห็นว่าคอลัมน์ข้อมูลมีการเรียกใช้ WMIC แปลก ๆ ในคอลัมน์หนึ่งของข้อมูล ที่เรียกใช้คำสั่ง PowerShell นั่นก็คือ WmiC| เป็นคำสั่งฟังก์ชัน DDE ที่ทำให้ Microsoft Excel เปิดใช้ WMIC.exe และรันคำสั่ง PowerShell ที่ให้มา

ในกรณีนี้ DDE จะใช้ WMIC เพื่อสร้าง Process PowerShell ใหม่ที่มีการ Remote URL จากระยะไกลที่มีคำสั่ง PowerShell อื่นๆที่ดำเนินการไว้แล้ว

การเรียกใช้คำสั่ง PowerShell จากระยะไกลที่แสดงด้านล่างนี้ จะดาวน์โหลดไฟล์ picture.

ESET ผู้ให้บริการด้านความปลอดภัยบนอินเทอร์เน็ต ออกมาแจ้งเตือนถึงช่องโหว่ Local Privilege Escalation มีความรุนแรงระดับสูง และส่งผลกระทบหลายผลิตภัณฑ์ที่ใช้ Windows 10, Windows Server 2016 และเวอร์ชันที่ใหม่กว่านั้น แนะนำให้ผู้ใช้รีบอัปเดตแพตช์เพื่ออุดช่องโหว่ทันที

ช่องโหว่ (CVE-2021-37852) ถูกค้นพบโดย Michael DePlante จาก Trend Micro Zero Day Initiative ซึ่งช่วยให้แฮ็กเกอร์สามารถยกระดับสิทธิ์ตัวเองไปยังสิทธิ์บัญชี NT AUTHORITY\SYSTEM ซึ่งเป็นสิทธิ์ระดับสูงสุดบนระบบปฏิบัติการ Windows ได้โดยใช้ Windows Antimalware Scan Interface (AMSI)

รายการผลิตภัณฑ์ของ ESET ที่ได้รับผลกระทบจากช่องโหว่นี้

ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security และ ESET Smart Security Premium ตั้งแต่เวอร์ชัน 10.0.337.1 ถึง 15.0.18.0
ESET Endpoint Antivirus for Windows และ ESET Endpoint Security for Windows ตั้งแต่เวอร์ชัน 6.6.2046.0 ถึง 9.0.2032.4
ESET Server Security for Microsoft Windows Server 8.0.12003.0 และ 8.0.12003.1,
ESET File Security for Microsoft Windows Server ตั้งแต่เวอร์ชัน 7.0.12014.0 ถึง 7.3.12006.0
ESET Server Security for Microsoft Azure ตั้งแต่เวอร์ชัน 7.0.12016.1002 ถึง 7.2.12004.1000
ESET Security for Microsoft SharePoint Server ตั้งแต่เวอร์ชัน 7.0.15008.0 ถึง 8.0.15004.0
ESET Mail Security for IBM Domino ตั้งแต่เวอร์ชัน 7.0.14008.0 ถึง 8.0.14004.0
ESET Mail Security for Microsoft Exchange Server ตั้งแต่เวอร์ชัน 7.0.10019 ถึง 8.0.10016.0

ผู้ใช้ ESET ผลิตภัณฑ์ต่างๆ ควรอัปเดทให้เป็นเวอร์ชันล่าสุด เพื่อแก้ไขช่องโหว่ดังกล่าว และทาง ESET แจ้งว่าปัจจุบันยังไม่พบรายงานเกี่ยวกับการโจมตีบนช่องโหว่ดังกล่าว

ที่มา: bleepingcomputer

แคมเปญ search engine optimization (SEO) poisoning attack ถูกพบว่ากำลังใช้ประโยชน์จากความน่าเชื่อถือของซอฟต์แวร์แท้ ในการหลอกให้ผู้ใช้งานดาวน์โหลดมัลแวร์ BATLOADER

“ผู้ไม่ประสงค์ดี ใช้ธีม ‘ติดตั้งแอปพลิเคชันฟรี’ หรือ ‘เครื่องมือพัฒนาซอฟต์แวร์ฟรี’ เป็นคำค้นหาของ SEO เพื่อหลอกล่อเหยื่อไปยังเว็บไซต์ และดาวน์โหลดตัวติดตั้งซอฟต์แวร์ที่ฝังมัลแวร์ไว้” นักวิจัยจาก Mandiant กล่าวในรายงานที่เผยแพร่เมื่อสัปดาห์ที่ผ่านมา

ในการโจมตีด้วย SEO poisoning attacks ผู้ไม่ประสงค์ดีได้ทำการเพิ่มอันดับของเว็บไซต์ที่ใช้แพร่กระจายมัลแวร์บน search engine ทำให้เว็บไซต์เหล่านั้นขึ้นมาบนหน้าแรกของผลการค้นหาเมื่อผู้ใช้งานทั่วไปค้นหาซอฟต์แวร์ต่าง ๆ เช่น TeamViewer, Visual Studio, และ Zoom และหลงเข้าไปดาวน์โหลดซอฟต์แวร์ที่ถูกฝังมัลแวร์ไว้

ตัวติดตั้งที่ภายในประกอบไปด้วยซอฟต์แวร์แท้ จะถูก BATLOADER payload ผูกติดไปด้วยซึ่งจะทำการเปิดใช้งานระหว่างขั้นตอนการติดตั้ง หลังจากนั้นมัลแวร์ตัวนี้จะเป็นตัวที่ใช้หาข้อมูลเพิ่มเติมเกี่ยวกับระบบขององค์กรที่เป็นเป้าหมาย และใช้เพื่อดาวน์โหลดมัลแวร์อื่น ๆ เพื่อแพร่กระจายเป็นลูกโซ่ต่อไป

หนึ่งในไฟล์ที่ถูกดาวน์โหลดนั้น เป็นส่วนประกอบภายในของ Microsoft Windows ที่ถูกดัดแปลงด้วยการเพิ่ม VBScript ที่ไม่พึงประสงค์ โดยการโจมตีนี้ใช้เทคนิคที่เรียกว่า signed binary proxy execution เพื่อทำการรันไฟล์ DLL โดยใช้ "Mshta.