Attackers Abuse Security Products to Install “Bookworm” Trojan

Palo Alto ค้นพบโทรจันตัวใหม่ที่เกิดขึ้นครั้งแรกในประเทศไทย เรียกโทรจันนี้ว่า “Bookworm” โดยมีเป้าหมายโจมตีหลัก คือ หน่วยงานในประเทศไทย โดยเฉพาะหน่วยงานรัฐบาล
Bookworm ถูกค้นพบเป็นครั้งแรกในระบบเครือข่ายของหน่วยงานรัฐบาลประเทศไทย ซึ่งเป็นโทรจันที่มีลักษณะคล้ายกับ PlugX RAT มัลแวร์สัญชาติจีนที่ให้การโจมตีแบบ Advanced Persistent Threat (APT) ซึ่ง Bookworm ถูกออกแบบมาเพื่อตรวจจับข้อความที่ผู้ใช้พิมพ์ลงบนคีย์บอร์ด และขโมยข้อมูลที่คัดลอกไว้บนคลิปบอร์ด นอกจากนี้ Bookworm ยังสามารถโหลดโมดูลเพิ่มเติมจาก C&C Server เพื่อเพิ่มความสามารถในการโจมตีระบบอีกด้วย
แฮกเกอร์เริ่มต้นโดยใช้โปรแกรม Smart Installer Maker ในการสร้างไฟล์ Installer ที่แฝงมัลแวร์ขึ้นมา ไฟล์ดังกล่าวจะอยู่ในรูปของไฟล์ Self-Extracting RAR, ไฟล์ Flash Slideshow หรือ Installer เป็นต้น ไฟล์เหล่านี้ เมื่อถูกดับเบิ้ลคลิ๊กเปิดออกมา จะทำการสร้างไฟล์ EXE, ไฟล์ DDL ที่ชื่อว่า “Loader.

Read more