Cyble Research and Intelligence Labs (CRIL) ได้พบเครื่องมือสร้าง loader ตัวใหม่ที่ไม่เคยถูกตรวจพบมาก่อน ซึ่งถูกเรียกว่า “MisterioLNK” การค้นพบนี้เกิดขึ้นหลังจากการวิเคราะห์ก่อนหน้านี้เกี่ยวกับ Quantum Software ซึ่งเป็นเครื่องมือสร้างไฟล์ LNK อีกรายการที่กำลังได้รับความนิยมในโลกไซเบอร์ โดย MisterioLNK ที่สามารถเข้าถึงได้บน GitHub เป็นความท้าทายที่สำคัญต่อระบบป้องกันความปลอดภัย เนื่องจากไฟล์ที่สร้างโดยเครื่องมือนี้แสดงให้เห็นถึงอัตราการตรวจจับที่ต่ำมาก หรือไม่พบเลยจากระบบรักษาความปลอดภัยแบบทั่วไป
ตามที่ได้อธิบายไว้ใน GitHub MisterioLNK เป็นเครื่องมือสร้าง loader แบบ open-source ที่ใช้ Windows script engines ในดำเนินการเพย์โหลดที่เป็นอันตราย พร้อมทั้งใช้การเข้ารหัสเพื่อช่วยซ่อนตัวอีกด้วย มันถูกออกแบบมาให้ทำงานอย่างเงียบ ๆ โดยการดาวน์โหลดไฟล์ไปยังไดเรกทอรีชั่วคราวก่อนที่จะเรียกใช้ไฟล์เหล่านั้น ซึ่งจะช่วยเพิ่มความสามารถในการหลีกเลี่ยงการตรวจจับ ทำให้การตรวจจับโดยมาตรการรักษาความปลอดภัยแบบทั่วไปเป็นเรื่องที่ยาก
ฟีเจอร์หลักของ MisterioLNK ประกอบไปด้วยวิธีการสร้าง loader ห้าแบบ ได้แก่ HTA, BAT, CMD, VBS, และ LNK รวมถึงสามวิธีการเข้ารหัสเฉพาะสำหรับ VBS, CMD, และ BAT โดยมีแผนที่จะเพิ่มการสนับสนุนการเข้ารหัสสำหรับ HTA ในไม่ช้า นอกจากนี้เครื่องมือนี้ยังรองรับการปรับแต่งไอคอนของไฟล์ LNK อีกด้วย
โปรเจ็กต์นี้ยังอยู่ในช่วงเบต้าในขณะนี้ และผู้พัฒนาได้แจ้งเตือนว่าอาจมีข้อผิดพลาด และปัญหาเกิดขึ้น พวกเขาสนับสนุนให้ผู้ใช้งานรายงานปัญหาต่าง ๆ ผ่านทางหน้าแจ้งปัญหาของ GitHub นอกจากนี้ ผู้พัฒนายังไม่รับผิดชอบต่อการดำเนินการที่ผิดกฎหมายที่เกิดขึ้นจากการใช้ซอฟต์แวร์นี้ โดยเน้นว่าผู้ใช้ต้องมั่นใจว่าการกระทำของตนเป็นไปตามกฎหมาย และข้อบังคับที่เกี่ยวข้อง
กลุ่มผู้ไม่หวังดี เริ่มใช้เครื่องมือสร้าง loader MisterioLNK เพื่อสร้างไฟล์ที่ถูกเข้ารหัสเพื่อใช้ในการติดตั้งมัลแวร์ เช่น Remcos RAT, DC RAT และ BlankStealer ที่น่าตกใจคือ loader เหล่านี้ส่วนใหญ่สามารถหลีกเลี่ยงการตรวจจับได้ โดยมีหลายไฟล์ที่ยังไม่ถูกตรวจจับโดยผู้ผลิตภัณฑ์ด้านความปลอดภัย
ในการวิจัยของ CRIL ได้รวมไฟล์ loader ทั้งหมด เพื่อตรวจสอบความสามารถในการตรวจจับ ตัวอย่างที่สร้างขึ้นโดยใช้ MisterioLNK แสดงให้เห็นว่า จากไฟล์ทั้งหกไฟล์ มีเพียงไฟล์เดียวที่ถูกตรวจจับได้ โดยมีการตรวจจับทั้งหมด 16 ครั้ง ขณะที่อีกสองไฟล์ถูกตรวจจับอย่างละหนึ่งไฟล์ และสามไฟล์แสดงว่าไม่มีการตรวจจับ แม้ว่าผลิตภัณฑ์ด้านความปลอดภัยจะสามารถตรวจจับ LNK และ VBS ที่ถูกเข้ารหัสได้อย่างมีประสิทธิภาพ แต่การตรวจจับไฟล์ loader ประเภท BAT, CMD, HTA, และ VBS ยังคงอยู่ในระดับต่ำ
รายละเอียดทางเทคนิค
Misterio.