PlugX Trojan ถูกพบว่าปลอมตัวเป็นเครื่องมือโอเพนซอร์สที่ใช้ตรวจสอบข้อผิดพลาดของ Windows ที่เรียกว่า x64dbg เพื่อหลบเลี่ยงการตรวจจับด้านความปลอดภัย และเข้าควบคุมระบบเป้าหมาย

โดย Buddy Tancio, Jed Valderama และ Catherine Loveria นักวิจัย Trend Micro ระบุในรายงานเมื่อสัปดาห์ที่ผ่านมาว่า "ไฟล์ดังกล่าวเป็นเครื่องมือโอเพนซอร์สที่ใช้สำหรับตรวจสอบข้อผิดพลาดบน Windows ในการตรวจสอบ kernel-mode, user-mode code, crash dumps, และ CPU registers"

PlugX หรือที่รู้จักกันในอีกชื่อว่า Korplug เป็น post-exploitation โมดูลที่มีความสามารถหลากหลาย เช่น การขโมยข้อมูล และความสามารถในการควบคุมเครื่องคอมพิวเตอร์ที่ถูกโจมตี

PlugX ถูกรายงานเป็นครั้งแรกในปี 2012 แต่ตัวอย่างตัวแรกของมัลแวร์ ถูกพบตั้งแต่เมื่อเดือนกุมภาพันธ์ 2008 จากรายงานของ Trend Micro ซึ่งในระหว่างนั้น PlugX ได้ถูกใช้โดยกลุ่มผู้โจมตีที่มีความเกี่ยวข้องกับรัฐบาลจีน รวมถึงกลุ่มอาชญากรรมทางด้านไซเบอร์ต่าง ๆ

หนึ่งในวิธีการหลักที่ PlugX ใช้คือ DLL side-loading เพื่อโหลด DLL ที่เป็นอันตรายจากซอฟแวร์ที่มี digital signed อย่างถูกต้อง ซึ่งในกรณีนี้คือเครื่องมือสำหรับ Debugging ที่ชื่อ x64dbg (x32dbg.

กลุ่มผู้ใช้งานที่ใช้ภาษาจีนเป็นหลักในเอเชียตะวันออกเฉียงใต้ และเอเชียตะวันออกกำลังตกเป็นเป้าหมายของแคมเปญ Google Ads เพื่อหลอกลวงให้ดาวน์โหลด trojans ที่ใช้ในการเข้าถึงจากระยะไกล เช่น FatalRAT ไปยังเครื่องเหยื่อ

ผู้โจมตีจะใช้การซื้อโฆษณา เพื่อให้แสดงในผลของการค้นหาบน Google เมื่อผู้ใช้พยายามดาวน์โหลด Application ที่เป็นที่นิยม จะถูกนำไปยังหน้าเว็บไซต์สำหรับดาวน์โหลดโปรแกรมซึ่งถูกฝัง Trojan เอาไว้ โดย ESET ระบุในรายงานว่าปัจจุบันโฆษณาดังกล่าวได้ถูกลบออกไปแล้ว

Google Chrome ก็เป็นหนึ่งใน Application ที่มีหน้าเว็บไซต์สำหรับดาวน์โหลดปลอมขึ้นมา รวมไปถึง Mozilla Firefox, Telegram, WhatsApp, LINE, Signal, Skype, Electrum, Sogou Pinyin Method, Youdao และ WPS Office

โดย ESET ระบุในรายงานที่พบในช่วงระหว่างเดือนสิงหาคม 2565 ถึงมกราคม 2566 ว่า "เว็บไซต์ และโปรแกรมที่ดาวน์โหลดจากเว็บไซต์ส่วนใหญ่เป็นภาษาจีน และในบางกรณีก็มีซอฟต์แวร์เวอร์ชั่นภาษาจีนที่ไม่สามารถใช้งานได้ในจีนด้วยเช่นกัน"

โดยเหยื่อส่วนใหญ่จะอาศัยอยู่ที่ ไต้หวัน จีน ฮ่องกง มาเลเซีย ญี่ปุ่น ฟิลิปปินส์ ไทย สิงคโปร์ อินโดนีเซีย และเมียนมาร์

สิ่งที่สำคัญที่สุดในการโจมตีคือการสร้างเว็บไซต์ที่มีโดเมนลักษณะคล้ายกัน หรือที่เรียกว่า typosquatted domain เพื่อเผยแพร่ซอฟต์แวร์ที่เป็นอันตราย ซึ่งบางกรณีถึงแม้จะมีไฟล์ติดตั้งของซอฟต์แวร์ที่ถูกต้อง แต่ก็ยังมีการแอบติดตั้ง FatalRAT ด้วยเช่นเดียวกัน

โดยผู้โจมตีจะสามารถควบคุมเครื่องของเหยื่อได้อย่างสมบูรณ์ รวมถึงสั่งรันคำสั่งที่เป็นอันตราย, เก็บข้อมูลจาก web browsers และตรวจจับการพิมพ์บน Keyboard

นักวิจัยระบุว่า "Hacker ใช้ความพยายามในการตั้งชื่อโดเมนให้มีความคล้ายกับชื่อที่เป็นทางการมากที่สุดเท่าที่จะทำได้ และ website ปลอมส่วนมากจะมีหน้าตาเหมือนกันกับ website ที่ถูกต้อง"

การค้นพบนี้เกิดขึ้นภายในเวลาไม่ถึงหนึ่งปีหลังจากที่ Trend Micro เปิดเผยแคมเปญ Purple Fox ที่ใช้ประโยชน์จากซอฟต์แวร์ที่เลียนแบบ Adobe, Google Chrome, Telegram และ WhatsApp เพื่อเผยแพร่ FatalRAT

ที่มา : thehackernews

นักวิจัยของ Trend Micro ได้เปิดเผยการค้นพบมัลแวร์ Dridex Banking ที่ได้มุ่งเป้าไปที่ระบบปฏิบัติการ macOS ของ Apple โดยการใช้เทคนิคการโจมตีแบบใหม่ที่ไม่เคยถูกพบมาก่อน ด้วยวิธีการส่งไฟล์ที่ฝัง macro ที่เป็นอันตราย โดยที่ Hacker อาจไม่จำเป็นต้องปลอมแปลงไฟล์อันตรายให้เป็นใบแจ้งหนี้ หรือไฟล์เอกสารที่เกี่ยวข้องกับธุรกิจ

Dridex หรือเรียกอีกอย่างว่า Bugat และ Cridex เป็นมัลแวร์ประเภท Information Stealer ที่สามารถรวบรวมข้อมูลสำคัญจากเครื่องที่โดนโจมตี และเรียกใช้โมดูลที่เป็นอันตราย อีกทั้งยังมีความเกี่ยวข้องกับกลุ่ม Hacker ที่ชื่อ Evil Corp (หรือที่รู้จักกันในชื่อ Indrik Spider) ซึ่งได้มาทดแทน Gameover Zeus หรือ Zeus ซึ่งเป็น banking trojan ที่มุ่งเป้าไปที่ระบบปฏิบัติการ Windows โดยการใช้ไฟล์เอกสาร Microsoft Excel ที่ฝัง macro และใช้การส่ง Phishing Email ไปยังเหยื่อเพื่อเรียกใช้งาน payload ที่เป็นอันตราย

จากการวิเคราะห์ตัวอย่าง Dridex ของ Trend Micro พบว่ามีความเกี่ยวข้องกับ Mach-O (Mach object) ซึ่งเป็นไฟล์สั่งการที่ถูกอัปโหลดไปยัง VirusTotal ในเดือนเมษายน 2019 ตั้งแต่นั้นมา มีการตรวจพบ Artifacts ที่เกี่ยวข้องอีก 67 ตัวอย่าง โดยพบครั้งล่าสุดในเดือนธันวาคม 2022

เทคนิคการโจมตี
โดยใน Artifacts จะประกอบไปด้วย ไฟล์เอกสารที่ฝัง macro ที่เป็นอันตราย และสามารถรันคำสั่งอัตโนมัติเมื่อเปิดไฟล์เอกสาร รวมถึงการใช้ Mach-O (Mach object) executable ซึ่งได้รับการออกแบบมาเพื่อค้นหา และเขียนทับไฟล์ ".doc" ทั้งหมดในไดเร็กทอรีของเครื่องที่ถูกโจมตี (~/User/{user name}) ด้วยมาโครที่เป็นอันตรายซึ่งจะคัดลอกจากไฟล์เอกสารที่ฝังไว้ในรูปแบบ hexadecimal dump ถึงแม้ว่าเครื่องที่ถูกโจมตีจะมีการปิดฟีเจอร์การรัน macro ใน Microsoft Word ไปแล้วก็ตาม

อีกทั้งไฟล์ macro ดังกล่าวยังสามารถติดต่อกับเซิร์ฟเวอร์ภายนอกเพื่อดาวน์โหลด Dridex loader ซึ่งรวมถึงไฟล์สั่งการที่จะทำงานบนระบบปฏิบัติการ Windows แต่จะไม่ทำงานใน macOS ทำให้ถึงแม้ Dridex จะมีข้อจำกัดในการส่งผลกระทบต่อผู้ใช้ macOS เนื่องจาก payload เป็นไฟล์ .EXE (ไม่สามารถสั่งการบน macOS ได้) แต่ผู้ใช้งาน macOS ก็ยังได้รับผลกระทบจากการถูกเขียนทับไฟล์ ".doc" อยู่ดี

นักวิจัยระบุว่า หลังจากที่ Microsoft ได้ปิดฟีเจอร์การรัน macro ใน Microsoft Word เป็นค่าเริ่มต้น จึงส่งผลให้เหล่า Hackers ได้ปรับปรุงกลยุทธ์ และวิธีการในการโจมตีให้มีประสิทธิภาพมากขึ้นในการโจมตีเป้าหมาย

ที่มา : thehackernews

โดยรายงานจาก Kaspersky ระบุว่า กลุ่มแฮ็กเกอร์ที่คาดว่าได้รับการสนับสนุนจากรัฐบาลจีนที่รู้จักกันในชื่อ Stone Panda กำลังมุ่งเป้าการโจมตีไปที่หน่วยงานของประเทศญี่ปุ่น โดยเป้าหมายประกอบไปด้วยองค์กรสื่อ การทูต องค์กรภาครัฐ และกลุ่มองค์กรที่ทำงานเกี่ยวกับการวิจัย

Stone Panda หรือที่รู้จักกันในชื่ออื่น ๆ ว่า APT10, Bronze Riverside, Cicada และ Potassium เป็นกลุ่มแฮ็กเกอร์ที่เป็นที่รู้จักจากการโจมตีองค์กรต่าง ๆ ที่ถูกระบุว่ามีความสำคัญเชิงกลยุทธ์ต่อประเทศจีน โดยคาดว่ากลุ่มดังกล่าวมีความเคลื่อนไหวมาตั้งแต่ปี 2552

กลุ่มดังกล่าวยังเชื่อมโยงกับการโจมตีโดยการใช้มัลแวร์ เช่น SigLoader, SodaMaster และเว็บเชลล์ที่ชื่อว่า Jackpot กับองค์กรต่าง ๆ ในประเทศญี่ปุ่นหลายแห่งตั้งแต่เดือนเมษายน 2564 โดย Trend Micro กำลังติดตามปฏิบัติการของกลุ่มดังกล่าวอยู่ภายใต้ชื่อ Earth Tengshe

การโจมตีครั้งล่าสุดถูกพบเมื่อระหว่างเดือนมีนาคม-มิถุนายน 2565 โดยเกี่ยวข้องกับการใช้ไฟล์ Microsoft Word ปลอม และไฟล์ self-extracting archive (SFX) ในรูปแบบ RAR ผ่านการโจมตีแบบ spear-phishing เพื่อทำการติดตั้ง backdoor ที่ชื่อว่า LODEINFO

โดยปกติผู้โจมตีจะต้องการให้เหยื่อเปิดใช้งาน macro บนไฟล์เอกสารที่เป็นอันตรายเนื่องจากต้องการให้มัลแวร์ทำงาน แต่พบว่าในเดือนมิถุนายน 2565 Stone Panda ได้เปลี่ยนไปใช้ไฟล์ SFX ที่เมื่อเปิดขึ้นมาแล้วจะแสดงเอกสาร Word ที่ดูปกติ เพื่อปกปิดพฤติกรรมที่เป็นอันตราย

(more…)

Apex One เป็นซอฟต์แวร์ด้านความปลอดภัย ที่ใช้สำหรับตรวจจับภัยคุกคาม และตอบสนองต่อเครื่องมือ มัลแวร์ และช่องโหว่ที่เป็นอันตรายต่อระบบของผู้ใช้งาน

ช่องโหว่นี้มีหมายเลข CVE-2022-40139 ที่จะทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายบนเครื่องที่มีการใช้งานซอฟต์แวร์ที่มีช่องโหว่ได้จากระยะไกล

กลไกการ Rollback ใน Trend Micro Apex One และ Trend Micro Apex One as a Service บนเครื่อง Client นั้นสามารถทำให้ผู้ดูแลระบบ Server ของ Apex One สามารถสั่งการให้เครื่อง Client ทำการดาวน์โหลด Rollback package ที่ไม่ได้รับการยืนยัน ซึ่งอาจนำไปสู่การถูกสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้

แต่ยังโชคดีที่ผู้โจมตีนั้นจะต้องสามารถเข้าถึงหน้า console ของผู้ดูแลระบบของ Apex One ได้ก่อนจึงจะสามารถโจมตีช่องโหว่นี้ได้

ถึงแม้ว่านี่จะเป็นการเพิ่มเงื่อนไขในการที่จะโจมตีช่องโหว่นี้ได้สำเร็จ แต่ Trend Micro ก็ได้ส่งคำเตือนไปยังผู้ใช้งานว่าได้ตรวจพบการพยายามโจมตีช่องโหว่นี้อย่างน้อยหนึ่งครั้ง

Trend Micro ระบุว่า “Trend Micro ได้ตรวจพบการพยายามโจมตีช่องโหว่นี้อย่างน้อยหนึ่งครั้ง ดังนั้นผู้ใช้งานควรทำการอัปเดตให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด”

ผู้ใช้งานควรทำการอัปเดตเวอร์ชันของ Apex One ให้เป็นเวอร์ชันล่าสุด โดยเป็นเวอร์ชัน Apex One Service Pack 1 (Server Build 11092 and Agent Build 11088)

ช่องโหว่ Authentication bypass ถูกแก้ไขด้วยในแพตช์นี้

Trend Micro ได้แก้ไขช่องโหว่ระดับความรุนแรงสูง CVE-2022-40144 อีกช่องโหว่บนผลิตภัณฑ์ Apex One ซึ่งเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถ bypass การยืนยันตัวตนได้ โดยการปลอมแปลง request parameters บนเครื่องที่ได้รับผลกระทบ

การใช้ประโยชน์จากช่องโหว่นี้ผู้โจมตีจำเป็นต้องเข้าถึงเครื่องที่มีช่องโหว่ได้ก่อน ไม่ว่าจะทางหน้าเครื่อง หรือจากภายนอก อย่างไรก็ตามถึงแม้ช่องโหว่จะจำเป็นต้องใช้เงื่อนไขที่เฉพาะเจาะจง แต่ทาง Trend Micro ก็แนะนำให้ผู้ใช้งานทำการอัปเดตให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด

เพิ่มเติมจากการอัปเดตแพตช์เป็นประจำ ผู้ใช้งานควรตรวจสอบพฤติกรรมการเข้าถึงระบบที่สำคัญจากภายนอกอยู่อย่างสม่ำเสมอ

ที่มา: bleepingcomputer

แพตซ์การอัปเดตบน Windows (แบบ Optional) สัปดาห์นี้ ส่งผลกระทบกับผลิตภัณฑ์ security products บางตัวของ Trend Micro ที่ทำให้ความสามารถบางอย่าง รวมถึงคุณสมบัติการป้องกันแรนซัมแวร์ไม่สามารถทำงานได้

Trend Micro กล่าวว่า “Trend Micro endpoint และเซิร์ฟเวอร์ของ Trend Micro หลายตัวที่ใช้ UMH component สำหรับ advanced features บางอย่าง เช่น การป้องกันแรนซัมแวร์ ซึ่งเราพบว่าหากผู้ใช้งานอัปเดต optional แพตซ์บน Microsoft Windows 11 หรือ Windows 2022 (KB5014019) หลังจาก Reboot จะทำให้ไดรเวอร์ UMH ของ Trend Micro หยุดทำงาน"

ปัญหาที่พบส่งผลต่อ component User Mode Hooking (UMH) ที่ใช้ใน Trend Micro endpoint solutions เช่น Apex One 2019, Worry-Free Business Security Advanced 10.0, Apex One as a Service 2019, Deep Security 20.0, Deep Security 12.0 และ Worry-Free Business Security Services 6.7

โดย Trend Micro กำลังดำเนินการแก้ไขปัญหานี้ ก่อนที่แพตซ์อัปเดตนี้ซึ่งเป็นส่วนหนึ่งของ Patch Tuesday ประจำเดือนมิถุนายน 2022 จะถูกปล่อยให้อัปเดตกับผู้ใช้งานทั้งหมด

วิธี restore Trend Micro endpoint

แพลตฟอร์ม Windows ที่ได้รับผลกระทบมีทั้งเวอร์ชันไคลเอ็นต์ และเซิร์ฟเวอร์ โดยส่วนมากจะพบปัญหาบน Windows 11, Windows 10 เวอร์ชัน 1809 และ Windows Server 2022

ผู้ใช้งาน Trend Micro ที่ได้ติดตั้ง optional แพตซ์ดังกล่าวของ Windows ไปแล้ว อาจใช้วิธีการถอนการติดตั้ง หรือติดต่อ Trend Micro support เพื่อรับ UMH debug module ที่จะทำให้ endpoint กลับมาทำงานได้ตามปกติ

ผู้ใช้ Windows สามารถลบการอัปเดตโดยใช้คำสั่งต่อไปนี้จาก Elevated Command Prompt

Windows 10 1809: wusa /uninstall /kb:5014022
Windows 11: wusa /uninstall /kb:5014019
Windows Server 2022: wusa /uninstall /kb:5014021

ที่มา : bleepingcomputer

Trend Micro แก้ไขช่องโหว่ที่แฮ็กเกอร์ชาวจีนใช้ในการขโมยข้อมูล

Trend Micro กล่าวว่าได้แก้ไขช่องโหว่ DLL hijacking ใน Trend Micro Security ที่ถูกใช้โดยกลุ่มแฮ็กเกอร์ชาวจีนเพื่อโหลด DLL ที่เป็นอันตราย และติดตั้งมัลแวร์

ตามที่ Sentinel Labs เปิดเผยในรายงานช่วงต้นเดือนพฤษภาคม แฮ็กเกอร์ใช้ประโยชน์จากการที่ Trend Micro Security ถูกรันด้วยสิทธิ์สูงสุดบน Windows เพื่อติดตั้ง และโหลด DLL ที่เป็นอันตรายเข้าสู่หน่วยความจำ เพื่อเพิ่มสิทธิ์ และสั่งรันโค้ดที่เป็นอันตราย

“Trend Micro รับทราบถึงรายงานที่เผยแพร่เมื่อวันที่ 2 พฤษภาคม 2022 เกี่ยวกับแฮ็กเกอร์จากเอเชียที่มีชื่อว่า 'Moshen Dragon' ที่อ้างว่าสามารถโจมตี security products ยอดนิยมต่างๆ รวมทั้ง Trend Micro ด้วยเช่นกัน" Trend Micro กล่าว (more…)

โปรแกรมป้องกันไวรัสของ Trend Micro ได้แก้ไขข้อผิดพลาด ที่ส่งผลให้ Apex One endpoint ตรวจจับการอัปเดต Microsoft Edge ว่าเป็นมัลแวร์ และทำให้ registry ของ Windows ถูกแก้ไขอย่างไม่ถูกต้อง

ตามรายงานจากผู้ใช้งานหลายร้อยรายเมื่อต้นสัปดาห์นี้ในฟอรัมของบริษัท และบนเครือข่ายสังคมออนไลน์ ว่าเกิดการตรวจจับที่ผิดพลาดกับแพทช์การอัปเดตของ Microsoft Edge  โดย Trend Micro Apex One ระบุว่าการอัปเดตเบราว์เซอร์ลักษณะดังกล่าวเป็นไวรัส/มัลแวร์: TROJ_FRS.VSNTE222 และไวรัส/มัลแวร์: TSC_GENCLEAN

(more…)

Trend Micro บริษัท Cybersecurity สัญชาติญี่ปุ่น ออกแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยที่มีระดับความรุนแรงสูงใน Apex Central management console ซึ่งทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายได้จากระยะไกล

Apex Central มีหน้า web-based management console ที่ช่วยให้ผู้ดูแลระบบสามารถจัดการผลิตภัณฑ์ และบริการของ Trend Micro ต่างๆ (รวมถึงผลิตภัณฑ์ และบริการด้านการป้องกันไวรัส) และยังสามารถใช้เพื่อติดตั้ง ไฟล์ Antivirus pattern, Scan engines และ antispam rules ด้วยวิธีการ Manual หรือตั้ง scheduled โดยอัตโนมัติไว้ล่วงหน้า

ช่องโหว่ CVE-2022-26871 เป็นช่องโหว่ที่มีระดับความรุนแรงสูง เรื่องการอัปโหลดไฟล์ในโมดูลการจัดการไฟล์ ซึ่งทำให้ผู้โจมตีสามารถโจมตีได้โดยไม่ต้องมีการตรวจสอบสิทธิ์ ซึ่งหากโจมตีได้สำเร็จผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้

"ซึ่งปัจจุบันทาง Trend Micro ได้พบการพยายามโจมตีอย่างต่อเนื่องด้วยช่องโหว่ดังกล่าว และเราได้แจ้งเตือนกับลูกค้าแล้ว" บริษัทกล่าว

CISA สั่งให้หน่วยงานของรัฐบาลอัปเดตแพตช์

Trend Micro ได้มีการแจ้งให้ลูกค้าที่ได้รับผลกระทบ อัปเดตเป็นเวอร์ชันล่าสุดโดยเร็วที่สุด ส่วนเวอร์ชัน Software as a service (SaaS) ถูกอัปเดตโดย Trend Micro แล้วโดยอัตโนมัติ ผู้ใช้งานไม่จำเป็นต้องดำเนินการใดๆ เพิ่มเติมเกี่ยวกับช่องโหว่นี้

เมื่อถูกถามถึงจำนวนลูกค้าที่ตกเป็นเป้าหมายในการโจมตี และระบบของพวกเขาที่อาจถูกเข้าถึงจากช่องโหว่นี้ Funda Cizgenakad ของ Trend Micro บอกกับ BleepingComputer ว่าบริษัท "ไม่สามารถให้ข้อมูลเกี่ยวกับลูกค้าได้ เนื่องจากเป็นความลับของทางบริษัท"

หลังจากการเปิดเผยข้อมูลของ Trend Micro ทาง Cybersecurity and Infrastructure Security Agency (CISA) ได้สั่งให้หน่วยงานของรัฐบาลแก้ไขช่องโหว่ใน Apex Central ที่อาจถูกโจมตีได้ ภายในสามสัปดาห์ จนถึงวันที่ 21 เมษายน 2022

CISA ได้เพิ่มช่องโหว่ของ Trend Micro ลงใน Known Exploited Vulnerabilities Catalog ซึ่งเป็นรายการช่องโหว่ด้านความปลอดภัย ร่วมกับอีก 7 รายการ รวมถึงช่องโหว่ที่มีระดับความรุนแรงสูงใน Sophos firewall

ที่มา: bleepingcomputer.

ในไตรมาสที่ 3 ของปี 2020 พบว่าประมาณ 38% ของมัลแวร์ที่ดาวน์โหลดได้ทั้งหมดถูกซ่อนอยู่ในไฟล์ Microsoft Office – ในไตรมาสแรกของปี 2021 อัตรานี้ลดลงเล็กน้อยเป็น 34% แต่คาดว่าจะกลับมาสร้างสถิติใหม่อีกครั้งในระดับ 43% ในไตรมาสถัดไป

Microsoft Office มีผู้ใช้งานออนไลน์หลายสิบล้านคนต่อวันทั่วโลก ในขณะเดียวกันไฟล์เหล่านี้ก็ถูกใช้โดยอาชญากรไซเบอร์เพื่อกระจายมัลแวร์ และเป็นวิธีที่สามารถทำกำไรให้กับอาชญากรได้

ดังนั้นเพื่อหลอกล่อผู้ใช้งานให้ดาวน์โหลดมัลแวร์ แฮ็กเกอร์จะสร้าง malicious macros ในไฟล์เอกสารของ Office และส่งไฟล์เหล่านี้ไปยังผู้ใช้งานผ่านอีเมล ซึ่งโดยปกติแล้วเมื่อมีการเปิดไฟล์ ผู้ใช้งานมักจะถูกหลอกให้เปิดการใช้งาน macros ที่ Microsoft Office จึงทำให้เมื่อผู้ใช้งานเปิดไฟล์เอกสารที่ผู้โจมตีสร้างขึ้นจึงทำให้ malicious macros ที่อยู่ในเอกสารสามารถทำงานได้ทันที

นักวิจัยของ Atlas VPN ระบุว่าเกือบ 43% ของการดาวน์โหลดมัลแวร์ทั้งหมดถูกซ่อนอยู่ในไฟล์ของ MS Office ไฟล์แบบนี้ค่อนข้างเป็นที่นิยมในหมู่ไม่หวังดี เนื่องจากสามารถหาวิธีหลบเลี่ยงการตรวจจับจากซอฟต์แวร์ antivirus ส่วนใหญ่ได้อย่างง่ายดาย

เป็นที่น่าสังเกตว่าการค้นพบของ Atlas VPN เป็นการอิงจากรายงานอื่นที่ชื่อว่า Netskope Threat Lab Cloud and Threat Report: July 2021 Edition ซึ่งครอบคลุมถึงวิธีที่อาชญากรไซเบอร์ใช้ประโยชน์จาก Office docs

ในงานวิจัยของ Netskope Threat Lab ได้ประเมินเอกสารจากแพลตฟอร์มที่แตกต่างกัน ได้แก่ Google Docs และ ไฟล์ PDF ไม่ใช่แค่จาก Microsoft Office 365

ตามรายงานในไตรมาสที่สองของปี 2020 ประมาณ 14% ของมัลแวร์ที่สามารถดาวน์โหลดได้ ทั้งหมดถูกพบซ่อนอยู่ในที่ Office documents และไตรมาสที่สามของปี 2020 ร้อยละนี้เพิ่มขึ้นถึง 38% ส่วนใหญ่เกิดจากการเพิ่มขึ้นของผู้ใช้งานที่ต้องทำงานจากที่บ้าน

ในไตรมาสแรกของปี 2021 อัตรานี้ลดลงเล็กน้อยอยู่ที่ 34% แต่คาดว่าจะกลับมาสร้างสถิติใหม่อีกครั้งในระดับ 43% ในไตรมาสถัดไป

นักวิจัยระบุว่า EMOTET เป็นหนึ่งในมัลแวร์ที่อันตรายที่สุดที่พบในไฟล์ Microsoft Word และด้วยความพยายามร่วมกันของหน่วยงานบังคับใช้กฎหมายทั่วโลก และบริษัทรักษาความปลอดภัยทางไซเบอร์ได้จัดการ EMOTET ได้ในปี 2021

แต่ EMOTET ไม่ได้หายไป เพราะตัวมันเป็นมัลแวร์ที่สามารถนำไปสู่ติดตั้งมัลแวร์ที่เป็นอันตรายชนิดอื่น เช่น ransomware, information stealers, trojans

อย่างไรก็ตามการวิจัยของ Trend Micro ยืนยันว่า EMOTET ยังคงถูกแพร่กระจายโดยเครื่องที่ยึดครองโดยผู้โจมตี (compromised) ตัวอย่างเช่น EMOTET มีความเกี่ยวข้องกับการโจมตีของ Trickbot และ Ryuk ซึ่งเป็นหนึ่งในตระกูล ransomware ที่โด่งดังที่สุด

ที่มา : hackread.