นักวิจัยพบการแพร่กระจายของแรนซัมแวร์สายพันธุ์หนึ่งที่รู้จักกันในชื่อ DJVU ในรูปแบบของไฟล์ Crack ของซอฟแวร์ผิดลิขสิทธิ์
Ralph Villanueva นักวิจัยด้านความปลอดภัยของ ระบุว่า “แม้ว่ารูปแบบการโจมตีลักษณะนี้จะไม่ใช่เรื่องใหม่ แต่ DJVU สายพันธุ์นี้จะต่อท้ายนามสกุลไฟล์ด้วย .xaro ไปยังไฟล์ที่ถูกโจมตี เพื่อเรียกค่าไถ่สำหรับตัวถอดรหัส ถูกพบว่ากำลังแพร่กระจายในระบบควบคู่ไปกับมัลแวร์สำหรับขโมยข้อมูลต่าง ๆ”
โดยแรนซัมแวร์สายพันธุ์ใหม่นี้ได้รับรหัสชื่อ Xaro จาก Cybereason
DJVU ซึ่งเป็นแรนซัมแวร์สายพันธุ์หนึ่งของ STOP ransomware โดยปกติจะมาในรูปแบบที่ปลอมเป็นบริการ หรือแอปพลิเคชันที่ดูถูกต้องตามปกติ นอกจากนี้ยังเคยถูกใช้เป็นเพย์โหลดของ SmokeLoader อีกด้วย
จุดสังเกตที่สำคัญของการโจมตีจาก DJVU คือการใช้มัลแวร์อื่น ๆ ร่วมด้วยเพิ่มเติม เช่น มัลแวร์สำหรับขโมยข้อมูล (เช่น RedLine Stealer และ Vidar) ซึ่งมักจะทำให้เกิดความเสียหายมากขึ้น
ในการโจมตีครั้งล่าสุดที่บันทึกไว้โดย Cybereason มัลแวร์ Xaro จะเป็นไฟล์ archive ที่ถูกดาวน์โหลดมาจากแหล่งที่น่าสงสัย ซึ่งเป็นเว็บไซต์ปลอมที่ให้สามารถดาวน์โหลดฟรีซอฟแวร์ที่ดูเหมือนถูกต้องตามกฎหมาย การเปิดไฟล์ archive จะนำไปสู่การรันไบนารีติดตั้งซอฟต์แวร์ PDF writing ที่ชื่อว่า CutePDF ซึ่งในความเป็นจริงเป็นการติดตั้งมัลแวร์ที่รู้จักกันในชื่อ PrivateLoader
โดย PrivateLoader นอกเหนือจากการนำไปสู่การติดตั้ง Xaro แล้ว มันจะทำการเชื่อมต่อกับ C2 Server เพื่อดาวน์โหลดมัลแวร์อื่น ๆ อีกจำนวนมาก เช่น RedLine Stealer, Vidar, Lumma Stealer, Amadey, SmokeLoader, Nymaim, GCleaner, XMRig และ Fabookie
นักวิจัยอธิบายเพิ่มเติมว่า "แนวทางการแพร่กระจายลักษณะนี้มักจะมาจากการดาวน์โหลด และติดตั้งมัลแวร์ PrivateLoader ที่เกิดจากเว็บไซต์ฟรีซอฟแวร์ หรือไฟล์ Crack ของซอฟแวร์ผิดลิขสิทธิ์"
เป้าหมายของมัลแวร์ดูเหมือนจะเป็นการรวบรวมข้อมูลที่มีความสำคัญเพื่อการเรียกค่าไถ่ ตลอดจนเพื่อให้แน่ใจว่าการโจมตีจะประสบความสำเร็จ แม้ว่าจะมีเพย์โหลดใดเพย์โหลดหนึ่งถูกบล็อกโดยซอฟต์แวร์รักษาความปลอดภัย
มัลแวร์ Xaro นอกเหนือจากการสร้างอินสแตนซ์ของ Vidar infostealer ยังสามารถเข้ารหัสไฟล์ในโฮสต์ที่ติดมัลแวร์ ก่อนที่จะทิ้งไฟล์เพื่อเรียกค่าไถ่ โดยจะขู่ให้เหยื่อติดต่อกลับในการจ่ายค่าไถ่เพื่อรับคีย์สำหรับถอดรหัสในราคา $980 ซึ่งจะลดลง 50% เป็น $490 หากติดต่อกลับภายใน 72 ชั่วโมง
เหตุการณ์นี้แสดงให้เห็นถึงความเสี่ยงของการดาวน์โหลดฟรีซอฟแวร์จากแหล่งที่มาที่ไม่น่าเชื่อถือ เช่น แคมเปญของ FakeUpdateRU ที่ใช้การแจ้งเตือนการอัปเดตเบราว์เซอร์ปลอมเพื่อติดตั้ง RedLine Stealer
โดยผู้โจมตีมักใช้ฟรีซอฟแวร์ปลอม เพื่อเป็นช่องทางในการแพร่กระจายมัลแวร์อย่างลับ ๆ และองค์กรควรเข้าใจถึงผลกระทบที่อาจเกิดขึ้นอย่างรวดเร็ว และกว้างขวางจากการติดมัลแวร์ และการปกป้องข้อมูล
ที่มา: thehackernews
