กลุ่มอาชญากรผู้อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ REvil เริ่มมีการใช้งานเครื่องมือเข้ารหัสเวอร์ชั่น Linux โดยพุ่งเป้าโจมตีเครื่องคอมพิวเตอร์แม่ข่ายแบบเสมือนหรือ Virtual Machine (VM) ที่ทำงานอยู่บน VMware ESXi เป็นหลัก ซึ่งเป็นผลมาจากความนิยมในการใช้งาน VM ขององค์กรในยุคปัจจุบันทำให้กลุ่มอาชญากรไซเบอร์เร่งพัฒนาเครื่องมือที่จะใช้ในการโจมตีด้วยการเข้ารหัสข้อมูลของ VM

เมื่อเดือนพฤษภาคมที่ผ่านมา ผู้เชี่ยวชาญด้านข่าวกรองทางไซเบอร์, Yelisey Boguslavskiy โพสต์ข้อมูลผ่านทวิตเตอร์ว่าพบข้อมูลการประกาศบนเว็บบอร์ดแห่งหนึ่งโดยกลุ่มอาชญากรผู้อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ REvil ทำการยืนยันว่าได้เปิดให้ใช้งานเครื่องมือเข้ารหัสเวอร์ชั่นระบบปฏิบัติการ Linux ซึ่งสามารถใช้โจมตีอุปกรณ์ NAS ได้อีกด้วย

เมื่อวันที่ 28 มิ.ย.64 ที่ผ่านมา กลุ่มนักวิจัยด้านความปลอดภัยทางไซเบอร์จาก MalwareHunterTeam เปิดเผยว่าตรวจพบมัลแวร์เรียกค่าไถ่ REvil เวอร์ชั่น Linux เช่นกัน หรือที่รู้จักกันในชื่อ "Sodinokibi" ซึ่งกำลังพุ่งเป้าโจมตีเครื่องแม่ข่ายที่ใช้งาน VMware ESXI

Vitali Kremez ซึ่งเป็นผู้เชี่ยวชาญด้านข่าวกรองทางไซเบอร์ให้สัมภาษณ์ BleepingComputer หลังจากมีโอกาสได้ทำการวิเคราะห์ไฟล์มัลแวร์พันธ์ุใหม่นี้ว่า มันเป็นไฟล์ ELF ชนิด 64-bit ซึ่งมีการนำรูปแบบการตั้งค่าการใช้งานเหมือนกับไฟล์ Executable ที่พบได้บนระบบปฏิบัติการ Windows และนี่เป็นครั้งแรกที่มีการค้นพบมัลแวร์เรียกค่าไถ่ REvil เวอร์ชั่น Linux ในการโจมตีที่เกิดขึ้นจริงนับตั้งแต่มันถูกเปิดให้ใช้งาน

สำหรับขีดความสามารถของมัลแวร์ชนิดนี้ ผู้โจมตีสามารถกำหนดตำแหน่งของไฟล์ที่ต้องการเข้ารหัสได้ รวมทั้งสามารถเปิดการใช้งาน "Silent Mode" ซึ่งใช้สำหรับป้องกันการปิดการทำงานของ "VMs mode" ดังแสดงตามรายละเอียดในคำแนะนำการใช้งาน (Usage Instructions) ของมัลแวร์ ดังนี้

Usage example: elf.

นักวิจัยพบเทคนิคใหม่ของเว็บไซต์ฟิชชิงที่กำลังใช้ JavaScript เพื่อหลบเลี่ยงการตรวจจับ

นักวิจัยจากทีม MalwareHunter ตรวจพบเว็บไซต์ฟิชชิงกำลังใช้ JavaScript เพื่อหลบเลี่ยงการตรวจจับโดยใช้ JavaScript ดังกล่าวทำจะการตรวจสอบว่าผู้เยี่ยมชมกำลังเช้าชมเว็บไซต์จากเครื่อง Virtual machine (VM) หรืออุปกรณ์ headless device หรือไม่ ถ้าตรวจสอบว่าใช่จะแสดงหน้าเพจที่ว่างเปล่าให้กับผู้เยี่ยมชม

นักวิจัยกล่าวว่าเทคนิคที่ใช้ในการหลีกเลี่ยงการตรวจสอบเว็บไซต์ฟิชชิงจะใช้ JavaScript เพื่อตรวจสอบว่าเบราว์เซอร์ทำงานภายใต้เครื่อง VM หรือเข้าสู่เว็บไซต์โดย Command-line interface (CLI) หากพบสัญญาณของความพยายามในการวิเคราะห์ข้อมูลบนเว็บไซต์ฟิชชิงดังกล่าวจะแสดงหน้าเพจว่างแทนที่จะแสดงหน้าฟิชชิงปกติ

นักวิจัยกล่าวอีกว่าสคริปต์จะทำการตรวจสอบความกว้างและความสูงของหน้าจอของผู้เยี่ยมชมและใช้ WebGL API เพื่อสืบค้นเว็บเอ็นจิ้นสำหรับการแสดงผลที่เบราว์เซอร์ใช้ นอกจากนี้สคริปต์ยังตรวจสอบด้วยว่าหน้าจอของผู้เยี่ยมชมมีความลึกของสีน้อยกว่า 24 บิตหรือไม่ หรือความสูงและความกว้างของหน้าจอน้อยกว่า 100 พิกเซล ซึ่งหากตรวจพบเงื่อนไขใดๆ เหล่านี้หน้าเพจฟิชชิงจะแสดงหน้าเพจที่ว่างเปล่าให้กับผู้เยี่ยมชม อย่างไรก็ตามหากเบราว์เซอร์ใช้เครื่องมือและการแสดงผลฮาร์ดแวร์ปกติและขนาดหน้าจอมาตรฐานสคริปต์จะแสดงหน้า Landing Page ของฟิชชิ่ง

ทั้งนี้นักวิจัยคาดว่าผู้ประสงค์ร้ายได้นำโค้ดมาจากบทความปี 2019 ที่อธิบายถึงวิธีใช้ JavaScript เพื่อตรวจจับเครื่อง VM สำหรับผู้ที่สนใจบทความสามารถดูได้ที่นี่: https://bannedit.