แฮกเกอร์ได้มีการใช้ Microsoft Build Engine (MSBuild) ในทางที่ผิด โดยใช้ส่ง Trojan และ Malware ประเภท Fileless ซึ่งมีเป้าหมายในการขโมยข้อมูลบนระบบ Windows

นักวิจัยจากบริษัท Anomali ที่ให้บริการด้านโซลูชันการรักษาความปลอดภัยทางไซเบอร์ กล่าวว่าเมื่อวันพฤหัสที่ผ่านมา (13 May 2021) ไฟล์ที่มีโค้ดอันตรายที่มีการเข้ารหัสและเชลล์โค้ดสำหรับติดตั้ง Blackdoor เพื่อใช้ในการเข้าควบคุมเครื่องของเหยื่อเพื่อขโมยข้อมูลได้มีการถูกสร้างขึ้น

MSBuild คือ เครื่องมือโอเพ่นซอร์สสำหรับ Compile .NET และ Visual Studio ที่ถูกพัฒนาโดยบริษัท Microsoft ที่มีไว้ใช้สำหรับ Compiling source code, Packaging, Testing, Deploying Applications

การใช้ MSBuild เป็นเครื่องมือในการเข้าควบคุมเครื่องเป้าหมายโดยไม่ต้องใช้ไฟล์ (Fileless) เป็นแนวคิดในการหลบหลีกการถูกตรวจจับเนื่องจาก Malware ตัวนี้ถูกสร้างขึ้นโดยใช้ Application ที่ถูกกฎหมายโดยรูปการทำงานจะเป็นการโหลด Code ลงที่ Memory ทำให้ไม่มีการทิ้งร่องรอยบนระบบและสามารถซ่อนตัวได้โดยที่ไม่ถูกตรวจจับ

ตามที่มีการเขียนระบุไว้ว่ามีเพียงผู้ให้บริการโซลูชันการรักษาความปลอดภัยทางไซเบอร์ 2 รายเท่านั้นที่ระบุว่าหนึ่งในไฟล์ MSBuild ที่มีการอัปโหลดไปยัง VirusTotal vyx.

เอฟบีไอพบ spear-phishing สวมรอยเป็นธนาคาร Truist Bank เพื่อกระจายมัลแวร์

ผู้โจมตีแอบอ้างตัวเองเป็น Truist Bank ซึ่งเป็นธนาคารของอเมริกา และทำการส่งสเปียร์ฟิชชิ่ง
ผู้โจมตีจะส่งอีเมลและแนบเว็บไซต์ โดยภายในอีเมลหรือเว็บไซต์นั้นจะมีมัลแวร์หรือโทรจันแบบเข้าถึงระยะไกลได้ (RAT : Remote Administration Tool ) ในการกระจายมัลแวร์ให้กับผู้ที่ตกเป็นเหยื่อ

FBI ได้เผยแพร่เอกสาร TLP:WHITE. โดยมีการกล่าวว่า ในกลุ่มแฮกเกอร์ได้ปรับแต่งแคมเปญฟิชชิ่ง โดยการจดทะเบียนโดเมน หัวข้ออีเมล และแอพพลิชั่น เพื่อแอบอ้างว่าเป็นสถานบันการเงินนั้น ๆ

โดยการทำงานร่วมกันกับ DHS-CISA (Department of Homeland Security's - Cybersecurity and Infrastructure Security Agency) โดยได้มีการออก IOC (Indicators of compromise) เพื่อใช้ในการตรวจจับและป้องกันการโจมตีดังกล่าวแล้ว

มีการโจมตีที่เป้าหมายที่เป็น บริษัทพลังงานหมุนเวียน ในเดือนกุมภาพันธ์ 2564 แฮกเกอร์ได้มีการส่งอีเมลฟิชชิ่งสั่งให้เป้าหมายทำการติดตั้งแอปพลิเคชั่นที่เป็นอันตราย โดยแอบอ้างเป็นแอป Truist Financial SecureBank และต้องดำเนินการให้เสร็จหลังเงินกู้ 62 ล้านดอลลาร์

FBI ได้กล่าวเพิ่มเติมว่า “จำนวนเงินที่หลอกลวงไปนั้นจะขึ้นอยู่กับรูปแบบธุรกิจของเป้าหมาย และในอีเมลล์ฟิชชิ่งยังมีลิงค์สำหรับดาวน์โหลดแอปพลิเคชั่นพร้อมชื่อผู้ใช้และรหัสผ่านสำหรับการเข้าถึงอีกด้วย อีเมลฟิชชิ่งจะดูเหมือนว่าส่งมาจากสถาบันการเงินในสหราชอาณาจักรโดยระบุว่าการกู้ยืมเงินสถาบันการเงินในอเมริกาให้กับเหยื่อนั้นได้รับการยืนยันแล้ว และสามารถเข้าถึงได้ผ่านแอปพลิเคชั่นที่แฮกเกอร์ได้แนบลิงค์มาด้วย”

แฮกเกอร์จะปลอมแปลงโฮสต์ของแอปพลิเคชั่นที่ลงทะเบียนไว้ก่อนการโจมตีโดยการแอบอ้างว่าเป็น Truist และดูเหมือนว่าสถาบันการเงินอื่น ๆ ในอเมริกาและสหราชอาณาจักร เช่น MayBank, FNB America และ Cumberland Private ก็ถูกแอบอ้างในแคมเปญสเปียฟิชชิ่งนี้เช่นกัน

ความสามารถในการขโมยข้อมูลของมัลแวร์ โดยจากการตรวจสอบบน Virustotal พบรายละเอียดเกี่ยวกับความสามารถของมัลแวร์ซึ่งประกอบไปด้วย
- การยกระดับสิทธิ์
- การเชื่อมต่อกับ UDP
- การจัดการรีจิสทรีของระบบ
- จับภาพหน้าจอ
- การฟังการสื่อสารที่เชื่อมต่อเข้ามา
- การตรวจจับการกดแป้นพิมพ์
- ดาวน์โหลดหรือวางไฟล์ไว้บนเครื่อง
- การแทรกโค้ดด้วยการรีโมทจากระยะไกล

และเมื่อเดือนที่แล้ว Michael Page ซึ่งเป็น บริษัท จัดหางานชั้นนำของโลกได้ถูกแอบอ้างในแคมเปญที่คล้ายกันนี้ โดยเป้าหมายจะถูกหลอกให้ติดตั้ง Trojan (Ursnif) ซึ่งเป็นมัลแวร์ที่จะเก็บข้อมูลการใช้งานของเป้าหมาย

จากการดูข้อมูลที่เก็บมาจากระบบที่ติดมัลแวร์พบว่าผู้โจมตีจะสามารถขโมยข้อมูลการเข้าสู่ระบบของเป้าหมายและข้อมูลที่เป็นความลับอื่น ๆ เพื่อที่จะได้เข้าควบคุมบัญชีหรือระบบของเป้าหมาย และจากการวางเหยื่อล่อ (Decoy) พบว่าพฤติกรรมของมัลแวร์เป็นพฤติกรรมที่เคยใช้กลุ่ม Lazarus ซึ่งเป็นกลุ่มที่เชื่อได้ว่าได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ

คำแนะนำ
● ควรระวังเมื่อใช้งานอีเมล เช่น ตรวจสอบชื่อผู้ส่ง, ลิ้งค์, ไฟล์แนบ ว่าน่าเชื่อถือหรือไม่
● ไม่ควรตั้งค่าอนุญาตให้เครื่องผู้ใช้สามารถติดตั้งโปรแกรมเองได้
● อัพเดทซอฟต์แวร์แอนตี้ไวรัสให้เป็นปัจจุบันเสมอ

ที่มา : ● bleepingcomputer.