เมื่อเร็ว ๆ นี้ FortiGuard Labs ได้เปิดเผยการค้นพบ Microsoft Office documents ที่เป็นอันตรายซึ่งออกแบบมาเพื่อใช้ประโยชน์จากช่องโหว่ Remote code execution ที่เป็นที่รู้จัก ได้แก่ CVE-2021-40444 และ CVE-2022-30190 (Follina) เพื่อเรียกใช้มัลแวร์ LokiBot (หรือที่รู้จักกันในชื่อ Loki PWS) ไปยังระบบของเหยื่อ

LokiBot เป็นโทรจันที่มีการใช้งานมาตั้งแต่ปี 2015 ซึ่งถูกใช้ในการขโมยข้อมูลที่สำคัญจากเครื่อง Windows ซึ่งเป็นภัยคุกคามที่สำคัญต่อข้อมูลของผู้ใช้งาน

FortiGuard Labs ได้ทำการวิเคราะห์ Word documents สองประเภทที่แตกต่างกัน ซึ่งทั้งสองไฟล์เป็นภัยคุกคามร้ายแรงต่อผู้ใช้งานที่ไม่ได้ระมัดระวัง โดยไฟล์ประเภทแรกจะมีลิงก์ภายนอกที่ฝังอยู่ในไฟล์ XML ชื่อ "word/rels/document.

หนึ่งในปัญหาสุดคลาสสิคของอุปกรณ์หรือโซลูชันด้านความปลอดภัยซึ่งนำมาสู่การ bypass การตรวจจับนั้นส่วนใหญ่มาจากการที่อุปกรณ์หรือโซลูชันไม่ยอมทำตาม RFC อย่างเหมาะสมจนส่งผลให้แฮกเกอร์สามารถข้ามผ่านการตรวจจับได้โดยอ้างรูปแบบตาม RFC

Bleeping Computer รายงานการค้นพบอีเมลฟิชชิงแนบไฟล์ Powerpoint อันตรายสำหรับแพร่กระจายมัลแวร์ Lokibot ซึ่งมีการใช้วิธีการสอดแทรกข้อมูลลงไปใน URL ซึ่งส่งผลให้อุปกรณ์ตรวจจับอีเมลอันตรายนั้นไม่สามารถตรวจจับได้ ทั้งนี้การสอดแทรกข้อมูลลงไปใน URL นั้นแท้จริงยังเป็นไปตาม RFC ซึ่งกำหนดรูปแบบของ URL เอาไว้ ทำให้เหยื่อยังสามารถคลิกลิงค์อันตรายได้ตามปกติ

หนึ่งในเทคนิคซึ่งแฮกเกอร์มักใช้งานนั้นคือการแทรกส่วนของ "userinfo" เข้าไปใน URL เช่น "https://malicious.

หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (Cybersecurity and Infrastructure Security Agency - CISA) ได้ออกเเจ้งเตือนถึงการตรวจพบกิจกรรมที่เพิ่มขึ้นของมัลแวร์ LokiBot ตั้งแต่เดือนกรกฎาคม 2020 จากระบบตรวจจับการบุกรุก EINSTEIN ของ CISA

LokiBot หรือที่เรียกว่า Lokibot, Loki PWS และ Loki-bot เป็นมัลแวร์โทรจันที่ถูกใช้เพื่อขโมยข้อมูลที่ละเอียดอ่อนเช่น ชื่อผู้ใช้, รหัสผ่าน, Cryptocurrency wallet และ Credential อื่นๆ โดยเมื่อเหยื่อติดมัลแวร์แล้วมัลแวร์จะทำการค้นหาแอปที่ติดตั้งในเครื่องและแยกข้อมูล Credential จากฐานข้อมูลภายในและทำการส่งข้อมูลที่ค้บพบกลับมาที่เซิฟเวอร์ C&C ของเเฮกเกอร์ นอกจากนี้ LokiBot ได้ทำการพัฒนาขึ้นเพื่อทำให้สามารถ keylogger แบบเรียลไทม์เพื่อจับการกดแป้นพิมพ์และขโมยรหัสผ่านสำหรับบัญชีที่ไม่ได้เก็บไว้ในฐานข้อมูลภายในของเบราว์เซอร์และยังมีความสามารถ Desktop screenshot เพื่อทำการบันทึกเอกสารที่ถูกเปิดบนคอมพิวเตอร์ของเหยื่อ

LokiBot นอกจากจะถูกใช้เพื่อในการขโมยข้อมูลแล้วตัวบอทยังทำหน้าที่เป็นแบ็คดอร์ทำให้แฮกเกอร์สามารถเรียกใช้มัลแวร์อื่นๆ บนโฮสต์ที่ติดไวรัสและอาจทำให้การโจมตีเพิ่มขึ้น

ผู้ใช้งานอินเตอร์เน็ตควรทำการระมัดระวังในการใช้งานไม่ควรทำการดาวน์โหลดไฟล์จากเเหล่งที่มาที่ไม่เเน่ชัดหรือเข้าคลิกเข้าเว็บไซต์ที่ไม่รู้จัก นอกจากนี้ผู้ใช้ควรทำการใช้ซอฟเเวร์ป้องกันไวรัสและทำการอัปเดต Signature อยู่เสมอเพื่อเป็นการป้องกันไม่ให้ตกเป็นเหยื่อของมัลแวร์ ทั้งนี้ผู้ที่สนใจรายละเอียด IOC สามารถดูได้ที่ : CISA

ที่มา : ZDnet

นักวิจัยด้านความปลอดภัยพบรมัลแวร์บนแอนดรอยด์ Lokibot ซึ่งหากมีความพยายามจะดำเนินการลบมัลแวร์ออกนั้น มันจะทำการล็อคเครื่องแล้วเปลี่ยนตัวเองเป็น ransomware ทันที

เป้าหมายหลักแต่เดิมของ Lokibot คือการขโมยข้อมูลผู้ใช้งานโดยอาศัยการสร้างหน้าล็อกอินปลอมในแอปที่มีชื่อเสียงไม่ว่าจะเป็น Skype, Outlook และ WhatsApp โดยมันจะทำงานเฉพาะบน Android 4.0 ขึ้นไปและต้องอาศัยสิทธิ์ค่อนข้างสูงในระบบเพื่อให้สามารถทำงานได้

อย่างไรก็ตามทีมนักวิจัยจาก SfyLabs มีการค้นพบว่า LokiBot นั้นผิดพลาดในกระบวนการเข้ารหัสอย่างสิ้นเชิ่ง ส่งผลให้ไฟล์ที่ควรจะถูกเข้ารหัสนั้นไม่ได้เกิดการเข้ารหัสขึ้นมาจริงๆ แต่เห็นเป็นเพียงแค่การเปลี่ยนชื่อ แต่แม้ว่ากระบวนการเข้ารหัสไฟล์จะหละหลวม มัลแวร์ก็ยังทำการล็อคหน้าจอเพื่อไม่ให้ผู้ใช้งานเข้าถึงระบบได้อีกด้วย โดยวิธีเดียวที่จะทำให้ผู้ใช้งานสามารถเข้าถึงเครื่องได้อีกครั้งคือการบูตเครื่องเข้าสู่ Safe Mode ทำการลบบัญชีผู้ใช้งานที่มีสิทธิ์ของผู้ดูแลระบบที่ถูกสร้างโดย Lokibot และลบแอป Lokibot ทิ้ง

ขอให้ผู้ใช้งานเพิ่มความระมัดระวังเมื่อต้องดาวโหลดหรือติดตั้งแอปจากที่มาที่ไม่ชัดเจน รวมไปถึงตรวจสอบสิทธิ์ที่แอปร้องขอทุกครั้งเมื่อติดตั้ง

ที่มา: bleepingcomputer