พบมัลแวร์บน Android ตัวใหม่ในชื่อ DogeRAT ที่มุ่งเป้าหมายไปที่องค์กรในหลายภาคอุตสาหกรรม รวมถึงสถาบันการเงิน, เกม และธุรกิจความบันเทิง นอกจากความสามารถในการเข้าถึงจากระยะไกลแล้ว มัลแวร์ยังสามารถทำหน้าที่เป็นคีย์ล็อกเกอร์ และสามารถคัดลอกเนื้อหาจากคลิปบอร์ดได้

ข้อมูลเกี่ยวกับแคมเปญการโจมตี

นักวิจัยจาก CloudSEK เปิดเผยว่าพบการแพร่ระบาดของแคมเปญ DogeRAT ที่มุ่งเป้าไปที่ผู้ใช้งาน Android ในประเทศอินเดีย และคาดว่ามัลแวร์อาจขยายการโจมตีออกไปทั่วโลกได้

ผู้โจมตีได้สร้างแอปพลิเคชันปลอมหลายพันรายการ โดยปลอมเป็นแอปพลิเคชัน และบริการยอดนิยม เช่น Netflix Premium, YouTube Premium, Instagram Pro, Opera Mini browser และ ChatGPT
แอปพลิเคชันที่เป็นอันตรายเหล่านี้ได้กระจายไปทั่วแพลตฟอร์มโซเชียลเน็ตเวิร์คต่าง ๆ
เมื่อติดตั้งแอปพลิเคชันปลอมเหล่านี้ แอปพลิเคชันจะขอสิทธิ์ที่ใช้ในการเข้าถึงข้อมูลที่สำคัญโดยไม่ได้รับอนุญาต รวมถึงข้อมูลสำคัญอื่น ๆ เช่น ข้อมูลการเข้าสู่ระบบธนาคาร, รายชื่อผู้ติดต่อ และข้อความ
นอกจากนี้ ยังช่วยให้ผู้โจมตีสามารถดำเนินการเพิ่มเติมต่าง ๆ ได้ เช่น ดำเนินการทำธุรกรรมธนาคารโดยไม่ได้รับอนุญาต, ส่งอีเมลสแปม และถ่ายรูปโดยใช้กล้องของอุปกรณ์

Boeing ถูกโปรโมตให้เป็น MaaS (Malware as a Service)

นักพัฒนาของ DogeRAT ถูกสงสัยว่ามาจากประเทศอินเดีย เนื่องจากมีการใช้งาน DogeRAT ที่เป็น RAT (Remote Access Trojan) โดยใช้ภาษา Java ซึ่งให้เป็นบริการ MaaS (Malware as a Service) ผ่านสองช่องทางใน Telegram

เวอร์ชันโอเพ่นซอร์สของมัลแวร์ถูกจัดเก็บไว้บนโฮสต์ GitHub ซึ่งมาพร้อมกับรายการความสามารถทั้งหมด และวิดีโอสอนการใช้งานคุณสมบัติต่าง ๆ
ผู้พัฒนากำลังโปรโมต DogeRAT เวอร์ชันพรีเมียมเพิ่มเติม ซึ่งเวอร์ชันนี้มีความต่อเนื่องมากขึ้น มีการเชื่อมต่อที่เสถียรมากกับเซิร์ฟเวอร์ C2 และมาพร้อมกับความสามารถเพิ่มเติม เช่น คีย์ล็อกเกอร์, การขโมยภาพจากแกลเลอรี่ และสามารถขโมยข้อมูลจากคลิปบอร์ดได้

ความสามารถที่หลากหลายของ DogeRAT เป็นตัวอย่างการพัฒนาการอย่างรวดเร็วของธุรกิจ MaaS ที่นักพัฒนามัลแวร์กำลังเน้นไปที่มัลแวร์ที่มีคุณสมบัติที่หลากหลาย

แนะนำให้องค์กรควรเตรียมกลยุทธ์ทางไซเบอร์ที่ครอบคลุม และปฏิบัติตามมาตรฐานการรักษาความปลอดภัยทางไซเบอร์

อ้างอิง : https://cyware.

Emotet หนึ่งในบอทเน็ตมัลแวร์ที่อันตรายและใหญ่ที่สุดในวันนี้กลับมามีชีวิตอีกครั้งหลังจากที่ไม่พบการใช้งานนานเกือบสี่เดือนนับตั้งแต่สิ้นเดือนพฤษภาคมปีนี้

ณ ช่วงเวลานั้นเซิร์ฟเวอร์ควบคุมของมัน (C&C) ถูกปิดตัวลง ทำให้ Emotet หยุดทำงานและหยุดแพร่เชื้อ โดยนักวิจัยบางคนเชื่อว่าเซิร์ฟเวอร์ควบคุมถูกปิดด้วยฝีมือเจ้าหน้าที่รัฐ แต่กลับไม่เป็นเช่นนั้น

ในวันที่ 16 กันยายน 2019 พบการส่งอีเมลแพร่เชื่อจาก Emotet โดย Raashid Bhat นักวิจัยด้านความปลอดภัยที่ SpamHaus บอกกับ ZDNet ว่า อีเมลดังกล่าวจะมีไฟล์แนบที่เป็นอันตรายหรือลิงก์ไปยังมัลแวร์ ปล่อยออกจากเซิร์ฟเวอร์ Emotet และมุ่งเป้าไปที่ผู้ใช้ภาษาโปแลนด์และเยอรมันเป็นหลัก

เมื่อผู้ใช้หลงเชื่อเปิดไฟล์แนบอันตรายหรือดาวน์โหลดมัลแวร์ ผู้ใช้จะติดเชื้อ Emotet จากนั้น Emotet จะดาวน์โหลดมัลแวร์ตัวอื่นๆ มาต่อไป ทั้งนี้ Emotet เป็นที่รู้จักกันดีในเรื่องการขโมยรหัสผ่าน แพร่ไปยังเครื่องอื่นๆ ในวงเน็ตเวิร์คเดียวกัน และขโมยอีเมลเพื่อแพร่เชื้อต่อ

นอกจากนี้ผู้อยู่เบื้องหลัง Emotet ว่าทำกิจการ Malware-as-a-Service (MaaS) คือให้ผู้โจมตีรายอื่นๆ สามารถเช่า Emotet เพื่อแพร่เชื้อมัลแวร์ของตัวเอง ตัวอย่างลูกค้าที่ว่าคือกลุ่มเบื้องหลัง Bitpaymer และ Ryuk ransomware นั่นเอง

ลูกค้าที่เป็นที่รู้จักมากที่สุดของ Emotet คือผู้ให้บริการของ Bitpaymer และ Ryuk ransomware ซึ่งมักจะเช่าการเข้าถึงโฮสต์ที่ติดเชื้อของ Emotet เพื่อเข้าถึงเครือข่ายองค์กรหรือรัฐบาลท้องถิ่นด้วยสายพันธุ์ ransomware

ทั้งนี้สามารถติดตาม IOCs ล่าสุดของ Emotet ได้จาก https://twitter.