ผู้โจมตีได้มุ่งเป้าหมายการโจมตีไปยังหน่วยงานรัฐบาลด้วยมัลแวร์ PureCrypter ซึ่งพบว่าถูกใช้เพื่อเป็นมัลแวร์สำหรับดาวน์โหลดมัลแวร์ขโมยข้อมูล และแรนซัมแวร์หลายสายพันธุ์

โดยนักวิจัยที่ Menlo Security พบว่าแฮ็กเกอร์ใช้ Discord เป็นโฮสต์สำหรับ payload เริ่มต้น และโจมตีองค์กรไม่แสวงหาผลกำไร เพื่อทำเป็นโฮสต์เพิ่มเติมที่ใช้ในแคมเปญ

แคมเปญนี้มีการโจมตีโดยการใช้มัลแวร์หลายประเภท ได้แก่ Redline Stealer, AgentTesla, Eternity, Blackmoon และ Philadelphia Ransomware และได้กำหนดเป้าหมายไปยังองค์กรรัฐบาลหลายแห่งในภูมิภาคเอเชียแปซิฟิก (APAC) และอเมริกาเหนือ

การโจมตี

การโจมตีเริ่มต้นด้วยอีเมลที่มี URL ของแอป Discord สำหรับดาวน์โหลด PureCrypter ซึ่งอยู่ในไฟล์ ZIP ที่มีการใส่รหัสผ่าน ซึ่งเมื่อเปิดใช้งาน มันจะทำการดาวน์โหลดเพย์โหลดต่อไปจากเซิร์ฟเวอร์ภายนอก ซึ่งในกรณีนี้เป็นเซิร์ฟเวอร์ที่ถูกโจมตีขององค์กรไม่แสวงหาผลกำไรแห่งหนึ่ง

โดยตัวอย่างที่นักวิจัยจาก Menlo Security วิเคราะห์คือ AgentTesla ซึ่งจะสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ FTP ที่ตั้งอยู่ในปากีสถาน เพื่อใช้ในการรับส่งข้อมูลที่ขโมยมา โดยแฮ็กเกอร์จะใช้ข้อมูล credentials ที่มีการรั่วไหลออกมาในการโจมตีเพื่อเข้าควบคุมเซิร์ฟเวอร์ FTP แทนที่จะตั้งเซิร์ฟเวอร์ขึ้นมาเอง เพื่อลดความเสี่ยงจากการถูกระบุตัวตน

AgentTesla เป็นกลุ่มมัลแวร์ .NET ที่ถูกใช้ในกลุ่มผู้โจมตีในช่วง 8 ปีที่ผ่านมา โดยมีการใช้งานสูงสุดในช่วงปลายปี 2020 และต้นปี 2021 แต่ Agent Tesla ยังถือว่าเป็น backdoor ที่มีความสามารถสูง ซึ่งได้รับการพัฒนา และปรับปรุงอย่างต่อเนื่องตลอดหลายปีที่ผ่านมา

โดยพฤติกรรม keylogging ของ AgentTesla คิดเป็นประมาณหนึ่งในสามของรายงาน Keylogger ทั้งหมดที่ Cofense Intelligence บันทึกไว้ในปี 2022

ความสามารถของมัลแวร์ มีดังนี้ :

บันทึกการกดแป้นพิมพ์ของเหยื่อเพื่อเก็บข้อมูลที่มีความสำคัญ เช่น รหัสผ่าน
ขโมยรหัสผ่านที่บันทึกไว้ในเว็บเบราว์เซอร์, email clients หรือ FTP clients
จับภาพหน้าจอของเดสก์ท็อปที่อาจมีข้อมูลที่มีความสำคัญ
ดักจับข้อมูลที่คัดลอกไปยังคลิปบอร์ด รวมถึงข้อความ รหัสผ่าน และรายละเอียดบัตรเครดิ
ส่งข้อมูลที่ถูกขโมยไปยัง C2 ผ่าน FTP หรือ SMTP

ในการโจมตีที่ถูกตรวจสอบโดย Menlo Labs พบว่าแฮ็กเกอร์ใช้ process hollowing เพื่อแทรก Payload ของ AgentTesla เข้าสู่ proces (“cvtres.

นักวิจัยจาก Jamf Threat Labs บริษัทวิจัยด้านความปลอดภัย ค้นพบซอฟต์แวร์ Final Cut Pro ที่ถูกฝัง cryptomining malware โดยมุ่งเป้าหมายไปที่กลุ่มผู้ใช้งาน MacOS เพื่อเรียกใช้งาน XMRig utility ในการขุด Monero cryptocurrency โดยปัจจุบันส่วนใหญ่ยังไม่ถูกตรวจจับได้จากอุปกรณ์ป้องกันด้านความปลอดภัย

การค้นพบ macOS malware

หลังจากที่นักวิจัยได้ค้นพบมัลแวร์ดังกล่าวแล้ว จึงได้ทำการตรวจสอบ และพบว่า macOS malware ดังกล่าวนั้นมาจาก torrents ที่เป็นอันตรายที่ชื่อ The Pirate Bay โดยผู้ใช้ชื่อ “wtfisthat34698409672” รวมไปถึงยังพบว่าผู้ใช้ดังกล่าวได้ทำการแผยแพร่ซอฟต์แวร์ macOS อื่น ๆ เช่น Adobe Photoshop และ Logic Pro X ตั้งแต่ปี 2019 โดยซอฟต์แวร์ทั้งหมดได้ฝัง payload สำหรับการขุด cryptocurrency เอาไว้ทั้งสิ้น

จากการวิเคราะห์เชิงลึกทำให้นักวิจัยสรุปได้ว่า มัลแวร์ดังกล่าวได้มีการพัฒนา และปรับปรุงมาแล้ว 3 ครั้ง เพื่อให้มีความสามารถในการหลบเลี่ยงการตรวจจับที่ซับซ้อนมากยิ่งขึ้น โดยพบว่าปัจจุบันอุปกรณ์ด้านความปลอดภัยสามารถตรวจจับได้แค่เวอร์ชันแรกเท่านั้น

ลักษณะการทำงานหลัก ๆ ของ macOS malware ที่มีมาตั้งแต่เวอร์ชันแรกจนถึงปัจจุบันคือ การทำ network layer I2P (Invisible Internet Project) สำหรับปกปิดการสื่อสารกับ C2 server

ต่อมาในเวอร์ชันที่สองที่พบในเดือนเมษายน 2021 ถึงตุลาคม 2021 มีความสามารถในการเข้ารหัสแบบ base 64 เพื่อซ่อนตัวใน app bundle

เวอร์ชันที่สาม หรือเวอร์ชันปัจจุบันพบในเดือนตุลาคม 2021 ถึงพฤษภาคม 2022 ได้เพิ่มความสามารถในการปลอมแปลง process ที่เป็นอันตราย ให้กลายเป็น process ของระบบใน Spotlight เพื่อหลบเลี่ยงการตรวจจับ รวมไปถึงมีสคริปต์ที่ใช้ในการตรวจสอบเครื่องมือประเภท Activity Monitor อย่างต่อเนื่อง หากมีการเปิดใช้งาน มันจะยุติกระบวนการทั้งหมดทันทีเพื่อไม่ให้ถูกตรวจจับได้

ปัจจุบัน MacOS ในปัจจุบัน ซึ่งมีชื่อว่า “Ventura” ได้เพิ่มการตรวจจับ และการป้องกันด้านความปลอดภัยเพิ่มมากขึ้น ไม่ว่าจะเป็นการตรวจสอบใบรับรองซอฟต์แวร์ และตรวจสอบการดัดแปลงในเนื้อหาซอฟต์แวร์ แต่ทั้งนี้ผู้ใช้งานก็ไม่ควรที่จะดาวน์โหลดซอฟต์แวร์ละเมิดลิขสิทธิ์จากภายนอก App Store เนื่องจากมีความเป็นไปได้ที่จะถูกฝังมัลแวร์ หรือเพย์โหลดที่เป็นอันตราย

ที่มา : bleepingcomputer

แฮกเกอร์ที่เกี่ยวข้องกับการทำแคมเปญมัลแวร์เพื่อเปลี่ยนเส้นทาง ได้มีการขยายขนาดของแคมเปญโดยการใช้โดเมนปลอมมากกว่า 70 โดเมน ที่เลียนแบบตัวย่อ URL และทำให้เว็บไซต์กว่า 10,800 เว็บไซต์ติดมัลแวร์ โดยมีวัตถุประสงค์หลัก คือเพิ่มการเข้าชมหน้าเว็บไซต์ที่มี AdSense ID ที่มีโฆษณาของ Google เพื่อสร้างรายได้ให้แฮกเกอร์จากการเพิ่มจำนวนการเข้าชมที่เกินจริง และทำให้ Google เข้าใจว่ายอดผู้ชมเหล่านั้นเป็นคนจริง ๆ ที่คลิกเข้าชมจาก IP ที่ต่างกัน

Ben Martin นักวิจัยของ Sucuri ผู้ให้บริการแพลตฟอร์ม Web Security กล่าวในรายงานที่เผยแพร่เมื่อสัปดาห์ที่แล้วว่าพบแคมเปญที่เป็นอันตรายที่ถูกเปิดเผยครั้งแรกโดยบริษัท GoDaddy ในเดือนพฤศจิกายน 2022 โดยแฮกเกอร์ได้เพิ่มประสิทธิ์ภาพของเว็บไซต์เหล่านี้ให้แสดงในผลลัพธ์ของเครื่องมือค้นหาเพื่อนำผู้ชมไปยังเว็บไซต์อื่น โดยสิ่งสำคัญของแคมเปญในครั้งนี้ คือการใช้ลิงก์ผลการค้นหาของ Bing และบริการย่อลิงก์ (t[.]co) ของ Twitter ร่วมกับ Google ในการเปลี่ยนเส้นทาง

นอกจากนี้ยังมีโดเมน URL ปลอมยอดนิยม เช่น Bitly, Cuttly หรือ ShortURL ที่จะนำพาผู้ชมไปยังเว็บไซต์ Q&A ที่สร้างขึ้นมาโดยแฮกเกอร์ Sucuri ระบุว่าเว็บไซต์ Q&A นั้นเป็นเว็บไซต์ที่เกี่ยวกับ blockchain และ cryptocurrency ซึ่งโดเมน URL เหล่านี้อยู่บน DDoS-Guard ที่เป็นผู้ให้บริการโครงสร้างพื้นฐานอินเทอร์เน็ตของรัสเซียที่ให้บริการป้องกันด้าน DDoS สำหรับโฮสติ้ง และแฮกเกอร์ยังเพิ่มมัลแวร์เข้าไปในไฟล์ wp-blog-header.

พบมัลแวร์ตัวใหม่ที่มีชื่อว่า 'ProxyShellMiner' ได้ใช้ประโยชน์จากช่องโหว่ของ Microsoft Exchange ProxyShell เพื่อติดตั้งเครื่องขุด cryptocurrency ผ่านทาง Windows domain เพื่อขุดเหรียญ cryptocurrency ให้กับ Hacker

ProxyShell เป็นชื่อของช่องโหว่ Exchange สามรายการที่ถูกพบ และได้รับการแก้ไขไปแล้วโดย Microsoft ในปี 2021 โดยเมื่อใช้งานร่วมกันทั้งสามช่องโหว่ จะทำให้สามารถหลบเลี่ยงการตรวจสอบ และเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ (Remote Code Execution (RCE)) จึงทำให้สามารถเข้าควบคุมเซิร์ฟเวอร์ Exchange ได้อย่างสมบูรณ์และเข้าถึงระบบอื่น ๆ บนเครือข่ายของเป้าหมายได้อีกด้วย

ProxyShellMiner

Morphisec บริษัทด้านความปลอดภัยทางไซเบอร์ ได้เปิดเผยการค้นพบมัลแวร์ตัวใหม่ที่ชื่อว่า 'ProxyShellMiner' ที่ใช้ประโยชน์จากช่องโหว่ CVE-2021-34473 และ CVE-2021-34523 ในการเข้าถึงเครือข่ายของเหยื่อ

จากนั้น Hacker จะปล่อยเพย์โหลดมัลแวร์ .NET ลงในโฟลเดอร์ NETLOGON ของ domain controller เพื่อให้แน่ใจว่าอุปกรณ์ทั้งหมดบนเครือข่ายจะเรียกใช้มัลแวร์ อีกทั้งเพื่อให้มัลแวร์สามารถใช้งานได้ จำเป็นต้องมีพารามิเตอร์บรรทัดคำสั่งที่เหมือนกับรหัสผ่านสำหรับส่วนประกอบของ XMRig miner

โดย ProxyShellMiner ใช้ embedded dictionary ซึ่งเป็นอัลกอริธึมแบบ XOR decryption ที่ดาวน์โหลดจากเซิร์ฟเวอร์ภายนอก จากนั้นจะใช้ตัวสั่งการที่ใช้ภาษา C# ในชื่อ CSC.exe และพารามิเตอร์ "InMemory" เพื่อดำเนินการใช้โมดูล embedded code ต่อไป

ต่อมา ProxyShellMiner จะดาวน์โหลดไฟล์ชื่อ "DC_DLL" และสั่ง .NET reflection เพื่อแยกอาร์กิวเมนต์สำหรับตัวกำหนด task scheduler, ค่า XML และ XMRig key ซึ่งไฟล์ DLL จะใช้สำหรับการถอดรหัสไฟล์เพิ่มเติม นอกจากนี้โปรแกรมทั้งสองรายการที่ทำการดาวน์โหลดมาก่อนหน้านี้จะทำการฝังตัวในระบบ (Persistence) ด้วยการสร้าง task scheduler ให้ทำงานเมื่อมีผู้ใช้งานเข้าสู่ระบบ และทำการดาวน์โหลด malware loader มาอีก 2 รายการพร้อมไฟล์อื่น ๆ อีกสี่ไฟล์

หลังจากนั้นจะทำการติดตั้งไปยัง browser ในระบบของเหยื่อเพื่อทำการฝังตัวในพื้นที่หน่วยความจำ ซึ่งเรียกกระบวนการนี้ว่า "process hollowing" จากนั้นจะเลือกกลุ่มการขุดแบบสุ่มจากรายการในฮาร์ดโค้ด และเริ่มการขุดเหรียญ cryptocurrency บนระบบของเหยื่อ

ในขั้นตอนสุดท้ายของกระบวนการโจมตี ProxyShellMiner จะทำการสร้าง firewall rule เพื่อบล็อกการรับส่งข้อมูลขาออกทั้งหมด โดยปรับใช้กับ Windows Firewall profile เพื่อป้องกันไม่ให้เหยื่อรู้ตัว รวมไปการถึงป้องกันการตรวจจับจากอุปกรณ์ป้องกันด้านความปลอดภัย โดยมัลแวร์จะรออย่างน้อย 30 วินาทีหลังจากที่ติดตั้งบน browser และก่อนที่จะสร้าง firewall rule เพื่อสร้าง backdoor ในการเรียกออกไปภายนอก

Morphisec ระบุว่า นอกจากผลกระทบที่จะทำให้ระบบเกิดปัญหา ประสิทธิภาพของเซิร์ฟเวอร์ลดลง และเครื่องร้อนเกินไปแล้วนั้น Hacker ยังสามารถโจมตีในรูปแบบอื่น ๆ ได้อีกด้วย เช่น เรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) จึงแนะนำให้ผู้ดูแลระบบทำการอัปเดตแพตซ์ด้านความปลอดภัยอย่างสม่ำเสมอ รวมไปถึงจัดหาระบบตรวจจับ และป้องกันภัยคุกคามที่ครอบคลุม และหลากหลายเพื่อป้องกันระบบ

ที่มา : bleepingcomputer

หน่วยงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ (CISA) ได้เพิ่มช่องโหว่สามรายการไปในแคตตาล็อก Known Exploited Vulnerabilities (KEV) โดยอ้างถึงหลักฐานของการพบการตั้งเป้าหมายการโจมตีไปที่ช่องโหว่ดังกล่าว

ช่องโหว่ TerraMaster (TNAS)

CVE-2022-24990 เป็นช่องโหว่ที่ส่งผลต่ออุปกรณ์จัดเก็บข้อมูลกับเครือข่าย TerraMaster network-attached storage (TNAS) ซึ่งอาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) โดยไม่ต้องผ่านการตรวจสอบสิทธิ์ด้วยสิทธิ์สูงสุด ซึ่งช่องโหว่ CVE-2022-24990 ได้รับการเปิดเผยโดย Octagon Networks บริษัทวิจัยด้านความปลอดภัยทางไซเบอร์ของเอธิโอเปียในเดือนมีนาคม 2565 รวมไปถึงหน่วยงานรัฐบาลของสหรัฐฯ และเกาหลีใต้ได้ระบุว่า ช่องโหว่ดังกล่าวได้ถูกใช้โดย Hacker ชาวเกาหลีเหนือ เพื่อโจมตีหน่วยงานด้านสุขภาพ และโครงสร้างพื้นฐานที่สำคัญด้วยแรนซัมแวร์

ช่องโหว่ Intel ethernet

CVE-2015-2291 เป็นช่องโหว่ที่ส่งผลต่อไดรเวอร์ Intel ethernet สำหรับ Windows (IQVW32.sys และ IQVW64.sys) ซึ่งอาจทำให้อุปกรณ์ที่ได้รับผลกระทบเข้าสู่สถานะ Denial-of-Service state (DOS) โดยช่องโหว่ CVE-2015-2291 ได้รับการเปิดเผยโดย CrowdStrike ในเดือนมกราคม 2023 โดยเกี่ยวข้องกับการโจมตีจาก Scattered Spider (หรือที่รู้จักในชื่อ Roasted 0ktapus หรือ UNC3944) ซึ่งสามารถที่จะใช้วิธีการที่เรียกว่า Bring Your Own Vulnerable Driver (BYOVD) เพื่อหลีกเลี่ยงการตรวจจับจากซอฟต์แวร์รักษาความปลอดภัยที่ติดตั้งบนเครื่องเป้าหมายได้ รวมถึงยังพบว่าเทคนิคดังกล่าวได้ถูกนำไปใช้โดยกลุ่ม Hacker จำนวนมาก เช่น BlackByte, Earth Longzhi, Lazarus Group และ OldGremlin

ช่องโหว่ GoAnywhere MFT

CVE-2023-0669 เป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ที่ค้นพบใน GoAnywhere MFT managed file transfer application ของ Fortra โดยขณะนี้ ทาง Fortra ได้ปล่อยตัวอัปเดตเพื่อป้องกันช่องโหว่ดังกล่าวออกมาแล้ว จึงได้เตือนให้ผู้ดูแลระบบเร่งทำการอัปเดตโดยเร็ว

รวมไปถึง Huntress บริษัทผู้ให้บริการด้านความปลอดภัย ได้พบการนำช่องโหว่ CVE-2023-0669 ไปใช้ร่วมกับ TrueBot ซึ่งเป็นมัลแวร์บน Windows ที่มาจากกลุ่ม Silence และแชร์การเชื่อมต่อกับ Evil Corp ซึ่งมาจากกลุ่ม Hacker ชาวรัสเซียในชื่อ TA505

ที่มา : thehackernews

มัลแวร์สำหรับขโมยข้อมูลตัวใหม่ที่ใช้ภาษา Golang ชื่อว่า Titan Stealer กำลังถูกโฆษณาโดยผู้โจมตีผ่านช่องทาง Telegram

Karthickkumar Kathiresan และ Shilpesh Trivedi นักวิจัยด้านความปลอดภัยของ Uptycs ระบุในรายงานว่า “ผู้โจมตีสามารถขโมยข้อมูลที่หลากหลายจากเครื่อง Windows ที่ถูกโจมตี เช่น ข้อมูล credential บนเบราว์เซอร์, กระเป๋าเงินคริปโต, ข้อมูล FTP client, ข้อมูลบันทึกภาพหน้าจอ และรายละเอียดข้อมูลบนระบบของเหยื่อ”

ไททันถูกพัฒนามาในลักษณะการเป็น builder เพื่อช่วยให้ผู้โจมตีที่นำไปใช้สามารถปรับแต่งไบนารีของมัลแวร์เพื่อปรับเปลี่ยนฟังก์ชันการทำงาน รวมถึงข้อมูลที่ต้องการจะขโมยออกไปจากเครื่องของเหยื่อ

เมื่อเริ่มดำเนินการมัลแวร์จะใช้เทคนิคที่เรียกว่า process hollowing เพื่อ inject เพย์โหลดที่เป็นอันตรายลงในหน่วยความจำของ process ที่ทำงานอยู่ตามปกติเรียกว่า AppLaunch.

TricGate Packer ที่ถูกพัฒนาบนพื้นฐาน Shellcode ที่ประสบความสำเร็จจากการให้บริการในการช่วยผู้ไม่หวังดีหลาย ๆ กลุ่ม ในการซ่อนมัลแวร์อันตราย เช่น TrickBot, Emotet, AZORult, AgentTesla และ REvil จากการตรวจจับจากอุปกรณ์ Security โดยที่ไม่ถูกตรวจพบมาเลยกว่า 6 ปี (more…)

นักวิจัย Unit 42 จาก Palo Alto Network บริษัทด้านความปลอดภัย ได้ทำการวิเคราะห์มัลแวร์ PlugX สายพันธุ์ใหม่ ที่พบว่าสามารถซ่อนตัวใน USB รวมถึงโจมตีไปยังเครื่องผู้ใช้งาน Windows ที่เสียบ USB ที่มีมัลแวร์ตัวนี้ฝังอยู่ รวมถึงยังสามารถแพร่กระจายไปยัง USB อื่น ๆ ได้อีกด้วย

PlugX malware เป็นมัลแวร์ที่แฝงตัวมากับซอฟต์แวร์ที่ดูเหมือนปลอดภัย เพื่อโหลดเพย์โหลดอันตราย โดยถูกนำมาใช้ในการโจมตีตั้งแต่ปี 2008 เริ่มใช้โดย Hackers ชาวจีน ต่อมาผู้โจมตีกลุ่มอื่น ๆ ก็เริ่มนำมาใช้โจมตีเช่นกัน จึงทำให้ไม่สามารถระบุแหล่งที่มาได้ (more…)

มัลแวร์ Emotet ยังคงมีการปรับปรุงเทคนิคการโจมตีใหม่อย่างต่อเนื่อง ในขณะเดียวกันก็ยังคงทำหน้าที่เป็นช่องทางสำหรับติดตั้งมัลแวร์ตัวอื่น ๆ ด้วย เช่น Bumblebee และ IcedID

Malware-as-a-service (MaaS) ยังคงเป็นบริการยอดนิยมสำหรับผู้โจมตีในการขโมยข้อมูลสำคัญออกไป ภายหลังจากการเข้าควบคุมเครื่องเหยื่อได้สำเร็จ และล่าสุดมัลแวร์ยอดนิยมอย่าง Emotet มีการเพิ่มโมดูลใหม่ ซึ่งประกอบด้วย Spreader SMB ที่ออกแบบมาเพื่อการทำ lateral movement โดยการใช้ชื่อผู้ใช้ และรหัสผ่านที่ hard-coded ไว้ และ credit card stealer ที่มุ่งเป้าไปที่การขโมยข้อมูลบนเว็ปเบราว์เซอร์ Google Chrome (more…)

BleepingComputer พบว่า Hackers ได้ปรับเปลี่ยนวิธีการโจมตี โดยการหันมาใช้ Microsoft OneNote ที่ฝังมัลแวร์แนบไปกับ Phishing Email เพื่อเข้าถึงเครื่องเหยื่อจากระยะไกล รวมถึงติดตั้งเพย์โหลดที่เป็นอันตราย เพื่อขโมยไฟล์, รหัสผ่านที่บันทึกไว้บนเบราว์เซอร์, ข้อมูลกระเป๋าเงิน cryptocurrency, การบันทึกภาพหน้าจอ และบันทึกวิดีโอโดยใช้เว็บแคม

โดยการหันมาใช้ Microsoft OneNote ในการโจมตี เกิดขึ้นจากการที่ Microsoft ได้ปิดการใช้งาน macro เป็นค่าเริ่มต้นใน Microsoft Office ซึ่งมักจะเป็นวิธีที่ Hackers เรียกใช้สคริปต์เพื่อติดตั้งมัลแวร์ ทำให้ Hackers ไม่สามารถแพร่กระจายมัลแวร์ผ่านไฟล์แนบรูปแบบ Word และ Excel ได้ จึงต้องหาวิธีการโจมตีในรูปแบบอื่น ๆ มาใช้แทน

Microsoft OneNote ** เป็นแอปพลิเคชันสมุดบันทึกดิจิทัลบนเดสก์ท็อปที่สามารถดาวน์โหลดได้ฟรี และถูกรวมอยู่ใน Microsoft Office 2019 และ Microsoft 365 เนื่องจาก Microsoft OneNote เป็นแอปพลิเคชันที่ถูกติดตั้งโดยค่าเริ่มต้นจากการติดตั้ง Microsoft Office 365 ทำให้ถึงผู้ใช้ Windows จะไม่ได้ใช้แอปพลิเคชันนี้ ก็ยังสามารถเปิดไฟล์ได้

การโจมตีโดย OneNote

Trustwave SpiderLabs บริษัทด้านความปลอดภัยทางไซเบอร์ ได้พบการโจมตีด้วย Phishing Email ที่แนบไฟล์ OneNote ที่เป็นอันตราย ตั้งแต่ช่วงกลางเดือนธันวาคมที่ผ่านมา ซึ่งหัวข้อของ Phishing Email จะประกอบไปด้วยการแจ้งเตือนการจัดส่งของจาก DHL, ใบแจ้งหนี้, แบบฟอร์มการโอนเงินของ ACH, แบบร่าง mechanical และ เอกสารการจัดส่ง

โดยใน OneNote จะอนุญาตให้ผู้ใช้สามารถแทรกไฟล์แนบลงในโปรแกรม NoteBook ได้ ซึ่งเมื่อดับเบิลคลิกจะเป็นการเปิดไฟล์แนบขึ้นมา Hacker จึงได้แนบไฟล์ VBS ที่เป็นอันตรายลงในโปรแกรม NoteBook ซึ่งจะเรียกใช้สคริปต์โดยอัตโนมัติเมื่อดับเบิลคลิก จากนั้นมันจะทำการดาวน์โหลดและติดตั้งมัลแวร์จากเซิร์ฟเวอร์ภายนอก

Hacker จะทำการสร้างไฟล์แนบที่ดูเหมือนไอคอนของไฟล์ใน OneNote ที่เขียนว่า ‘Double click to view file' เหนือไฟล์แนบ VBS ที่เป็นอันตราย ซึ่งมีไฟล์แนบหลายไฟล์ หากผู้ใช้ดับเบิลคลิกที่ใดก็ตามบนแถบ ก็จะเปิดใช้งานทันที

เมื่อเปิดใช้งานเอกสารแนบของ OneNote โปรแกรมจะเตือนว่า ‘การทำเช่นนั้นอาจเป็นอันตรายต่อคอมพิวเตอร์ และข้อมูลของคุณ’ แต่ส่วนใหญ่เหยื่อจะไม่ได้สนใจข้อความดังกล่าว และคลิกปุ่มตกลง

เมื่อคลิกปุ่มตกลงจะเป็นการเปิดสคริปต์ VBS เพื่อดาวน์โหลด และติดตั้งมัลแวร์บนอุปกรณ์ รวมถึงแสดงเอกสาร OneNote ปลอมเพื่อให้เหยื่อไม่สงสัย

นอกจากนี้ยังพบวิธีการโจมตีประเภทอื่น ๆ เช่นการส่ง Phishing Email ที่แนบไฟล์อิมเมจ ISO และไฟล์ ZIP ที่ใส่รหัสผ่าน และใช้ช่องโหว่บน Windows เพื่อหลบเลี่ยงการตรวจสอบจาก mark-of-the-web flags แต่ปัจจุบัน Microsoft ได้แก้ไขช่องโหว่ดังกล่าวไปแล้ว

การป้องกัน

ไม่เปิดอ่านไฟล์จาก E-mail ที่ไม่รู้จัก หรือไม่น่าเชื่อถือ
อ่านคำเตือนที่แสดงโดยระบบปฏิบัติการ หรือแอปพลิเคชันทุกครั้ง ก่อนกดตกลง

ที่มา : bleepingcomputer