Cofense บริษัทรักษาความปลอดภัยทางไซเบอร์ และกลุ่ม Emotet-tracking Cryptolaemus ได้แจ้งเตือนการกลับมาอีกครั้งของ Emotet หลังจากหายไปนานกว่า 3 เดือน

Emotet เป็นมัลแวร์ที่แพร่กระจายผ่านทางอีเมลที่แนบไฟล์ Microsoft Word และ Excel ที่เป็นอันตราย เมื่อเป้าหมายเปิดเอกสารเหล่านี้ก็จะทำการเรียกใช้งานมาโครที่เป็นอันตราย โดย Emotet DLL จะถูกดาวน์โหลดลงในหน่วยความจำ หลังจากนั้นก็จะทำการหยุดการทำงาน และรอคำสั่งจาก command and control (C2) server โดย Emotet มีความสามารถในการขโมยข้อมูลบนเครื่องเป้าหมาย รวมไปถึงเรียกใช้เพย์โหลดเพิ่มเติม เช่น Cobalt Strike หรือ Ransomware รวมถึงยังเป็นมัลแวร์ที่มีการแพร่กระจายมากที่สุดในอดีต แต่กลับหายไปเรื่อย ๆ ครั้งสุดท้ายที่พบคือในเดือนพฤศจิกายน 2022 เพียงสองสัปดาห์เท่านั้น (more…)

นักวิจัยด้านความปลอดภัยพบมัลแวร์รูปแบบใหม่ชื่อว่า “Rombertik” ที่มุ่งเน้นไปที่ความพยายามในการทำลายระบบคอมพิวเตอร์

Rombertik มีความซับซ้อนที่ออกแบบให้โจมตีเบราว์เซอร์ของผู้ใช้ เพื่อเข้าไปอ่านข้อมูลประจำตัวและข้อมูลสำคัญอื่นๆ โดยส่งข้อมูลไปยังเซิร์ฟเวอร์ที่ควบคุมการโจมตีคล้ายกับ Dyre แต่จะต่างกันตรงที่ถูกออกแบบเพื่อมุ่งเป้าไปยังข้อมูลของธนาคาร แต่ Rombertik จะรวบรวมข้อมูลที่สำคัญจากเว็บไซต์ โดยจะแพร่กระจายผ่านทาง Spam mail และ Phishing ซึ่งครั้งแรกจะมุ่งไปที่ Master Boot Record (MBR) ของฮาร์ดไดรฟ์คอมพิวเตอร์

อย่างไรก็ตามหาก Rombertik ไม่ได้เข้าถึง MBR ก็จะเริ่มจู่โจมไฟล์ข้อมูลต่างๆ ในโฟลเดอร์ของ Home ของผู้ใช้ โดยการเข้ารหัสคีย์ในลักษณะของ RC4 Random ซึ่งเมื่อ MBR หรือ Home folder ถูกเข้ารหัส ระบบจะทำการรีสตาร์ทและจะเข้าสู่ MBR จากนั้นก็จะวนเป็น Loop ต่อเนื่องไม่หยุด ซึ่งจะไม่สามารถหยุดวงจรของปัญหาดังกล่าวได้ และบนหน้าจอจะปรากฏคำว่า “Carbon crack attempt, failed” ครั้งแรกที่มัลแวร์นี้ถูกติดตั้งบนคอมพิวเตอร์ก็จะทำการ Unpack ตัวเอง ซึ่งไฟล์จะถูกออกแบบให้ถูกมองว่าเป็นไฟล์ถูกต้องตามปกติ ซึ่งประกอบด้วยไฟล์ภาพ 75 ไฟล์ และไฟล์ที่เป็นไฟล์หลอก 8000 ชุด

สิ่งที่น่ากังวลคือ Rombertik จะถูกปลุกให้ตื่นอยู่ตลอดเวลาและยังมีการเขียนข้อมูล 1 Byte ลงในเมมโมรีถึง 960 ล้านครั้ง ทำให้เกิดความซับซ้อนต่อการวิเคราะห์เครื่องมือในการแก้ไข ซึ่งจะต่างจากมัลแวร์อื่นๆ ที่จะฝังตัวและรอคอยเวลา

ที่มา : thehackernews