VelvetSweatshop กลับมาแล้วหลังพบกำลังแพร่กระจายมัลแวร์ LimeRAT ผ่านทางไฟล์ Excel

บริษัท Mimecast ได้ทำการสังเกตพบแคมเปญใหม่โดยใช้ประโยชน์จากเทคนิค ซึ่งได้รับการค้นพบครั้งแรกในปี 2013 และถูกนำเสนอในการประชุม Virus Bulletin ในหัวข้อการโจมตีผ่าน Hardcoded Password ที่ถูกกำหนดให้เป็น CVE-2012-0158 และถูกนำมาใช้ประโยชน์ในการแพร่กระจายมัลแวร์ LimeRAT Remote Access Trojan โดยใช้รหัสผ่านดีฟอลต์ชื่อ “VelvetSweatshop” ซึ่งเป็นรหัสผ่านดีฟอลต์ที่โปรแกรมเมอร์ของ Microsoft ใช้เป็นรหัสเริ่มต้นในการถอดรหัสไฟล์ Excel

คำว่า “Velvet Sweatshop” นี้มาจากซีแอตเติลไทม์สในปี 1989 ใช้นิยามพนักงานของ Microsoft ที่ให้บริการหลากหลายบริการ ทำพนักงานใช้เวลาทำงานมากเกินสมควร

LimeRAT เป็นโทรจันที่ออกแบบมาสำหรับเครื่อง Windows โดยจะสามารถติดตั้งแบ็คดอร์ที่มีคุณสมบัติที่ช่วยให้ผู้โจมตีสามารถเข้าถึงระบบที่ของผู้ติดเชื้อและติดตั้งมัลแวร์สายพันธุ์ต่างๆ เช่น Ransomware, Cryptominers, Keyloggers และ Botnets นอกจากนี้ยังสามารถแพร่กระจายผ่าน USB ไดรฟ์ ที่เชื่อมต่อ เพื่อขโมยข้อมูลต่างๆ และส่งกลับไปยังเซิร์ฟเวอร์ Command-and-Control (C2) ของผู้โจมตี

ในแคมเปญนี้นักวิจัยจากบริษัท Mimecast ได้สังเกตเห็นโทรจันทำการซ่อน Payload ไว้ในเอกสารรูปแบบของไฟล์ Excel ในโหมด Read-only ที่แพร่กระจายผ่านอีเมลฟิชชิง

ในการถอดรหัสไฟล์เอกสาร Excel เมื่อเปิดเอกสารในโหมด Read-only โปรเเกรม Excel จะฝังรหัสผ่าน "VelvetSweatshop" หากถอดรหัสไฟล์สำเร็จจะอนุญาตให้มาโครที่ฝัง Payload ที่เป็นอันตรายเริ่มทำงานในขณะที่ยังคงเอกสารในโหมด Read-only

โดยปกติแล้วถ้าถอดรหัสไฟล์ "VelvetSweatshop" ไม่สำเร็จผู้ใช้ต้องใส่รหัสผ่าน อย่างไรก็ตามถ้าเปิดเอกสารในโหมด Read-only ไฟล์เอกสารจะถูก bypasses รหัสและ Windows ก็ทำการเปิดไฟล์ต่อไป

ในการโจมตีนี้ผู้โจมตีไม่จำเป็นต้องป้อนข้อมูลผู้ใช้และ Microsoft Office จะไม่มี dialogs แจ้งเตือนใด ๆ เกี่ยวกับไฟล์ที่เปิด

คำเเนะนำในการป้องกันมัลแวร์

หลีกเลี่ยงการเปิดเอกสารที่แนบมาจากอีเมลที่ไม่รู้จักและไม่ระบุชื่อ ใช้ซอฟต์แวร์ป้องกันไวรัสที่ดีและอัพเดตอยู่เสมอ

ที่มา: Zdnet