Ransomware Black Basta ได้สร้าง Automated Brute-forcing Framework เรียกว่า "BRUTED" เพื่อเจาะอุปกรณ์เครือข่ายไฟร์วอลล์ และ VPN โดย Büyükkaya นักวิจัยที่ค้นพบระบุว่า Black Basta ได้ใช้ BRUTED มาตั้งแต่ปี 2023 เพื่อโจมตีแบบ Credential-stuffing

จากการวิเคราะห์ Code แสดงให้เห็นว่า Framework นี้ได้รับการออกแบบมาเพื่อ Brute-force Credentials บนระบบ VPN และการเข้าถึงจากระยะไกลบนบนผลิตภัณฑ์ SonicWall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, Fortinet SSL VPN, Citrix NetScaler (Citrix Gateway), Microsoft RDWeb (Remote Desktop Web Access) และ WatchGuard SSL VPN

Framework จะค้นหาอุปกรณ์ที่เข้าถึงได้จาก Public ที่ตรงกับรายการเป้าหมาย โดยการใช้ Subdomain Enumeration หรือการระบุที่อยู่ IP และการเพิ่มคำนำหน้าเช่น ".vpn" หรือ "remote" และข้อมูลจะถูกส่งกลับไปยังเซิร์ฟเวอร์ C2 ของผู้โจมตี

เมื่อระบุเป้าหมายได้ BRUTED จะดึงข้อมูลรหัสผ่านที่น่าจะเป็นไปได้จาก remote server และร่วมกับการคาดเดารหัส โดย Framework สามารถดึงชื่อ Common Name (CN) และ Subject Alternative Names (SAN) ออกจาก SSL certificates ของอุปกรณ์เป้าหมายได้ ซึ่งจะช่วยสร้างการคาดเดารหัสผ่านที่น่าจะเป็นไปได้เพิ่มเติมตามโดเมน และการตั้งชื่อของเป้าหมาย

ต่อมาคือการทำ Authentication ทดลอง Login หลายครั้ง ผ่าน CPU หลายตัว ซึ่งมี Code ตัวอย่างจากนักวิจัย แสดงให้เห็นว่ามี Code เฉพาะของแต่ละอุปกรณ์ที่เป็นเป้าหมาย โดยที่มีการใช้ Proxy SOCKS5 เพื่อหลีกเลี่ยงการตรวจจับเพิ่มเติม

BRUTED ยังช่วยเพิ่มประสิทธิภาพการทำงานของกลุ่ม Ransomware เนื่องจากความสามารถในการพยายามเจาะเครือข่ายจำนวนมากพร้อมกัน ส่งผลให้มีโอกาสโจมตีสำเร็จมากขึ้น

แนวทางการป้องกันที่สำคัญคือ การบังคับใช้รหัสผ่านที่คาดเดาได้ยาก และไม่ซ้ำกันของแต่ละอุปกรณ์ รวมถึงบัญชี VPN ทั้งหมด และใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) เพื่อบล็อกการเข้าถึง แม้ว่า Credential จะถูก Compromise ไปแล้วก็ตาม นอกจากนี้ควร Monitor การ Authentication จากตำแหน่งที่ผิดปกติ และการพยายามเข้าสู่ระบบไม่สำเร็จปริมาณมาก รวมถึงกำหนด Policy สำหรับจำกัดการ Login

ที่มา : bleepingcomputer

 

ผู้ให้บริการอีเมลที่เน้นความเป็นส่วนตัว Tuta (เดิมชื่อ Tutanota) และ VPN Trust Initiative (VTI) กำลังแสดงความกังวลเกี่ยวกับกฎหมายใหม่ของฝรั่งเศสที่เสนอให้มี backdoor ในระบบเข้ารหัสข้อความ และจำกัดการเข้าถึงอินเทอร์เน็ต (more…)

ฐานข้อมูลของ Lyca Mobile ถูกเปิดเผย (more…)

การวิจัยใหม่ได้ค้นพบช่องโหว่ด้านความปลอดภัยใน Tunneling Protocol หลายตัว ซึ่งอาจทำให้ผู้โจมตีสามารถทำการโจมตีได้หลากหลายรูปแบบ (more…)

Cisco ได้เพิ่มฟีเจอร์ความปลอดภัยใหม่ที่ช่วยลดความรุนแรงของการโจมตีแบบ brute-force และ password spray บน Cisco ASA และ Firepower Threat Defense (FTD) ได้มาก ซึ่งช่วยป้องกันเครือข่ายจากการโจมตีบนระบบและลดการใช้งานทรัพยากรของอุปกรณ์ (more…)

นักวิจัยด้านความปลอดภัยของ Arctic Wolf ได้เผยแพร่การพบกลุ่ม Fog และ Akira ransomware กำลังมุ่งเป้าหมายการโจมตีเพื่อเข้าถึงเครือข่ายโดยใช้ SonicWall VPN account จากช่องโหว่ SSL VPN access control (CVE-2024-40766)

โดย SonicWall ได้แก้ไขช่องโหว่ SonicOS ดังกล่าว ในช่วงปลายเดือนสิงหาคม 2024 และประมาณหนึ่งสัปดาห์ต่อมา ก็ได้แจ้งเตือนว่าช่องโหว่ดังกล่าวกำลังถูกใช้ในการโจมตีแล้ว

Fog ransomware เปิดตัวในเดือนพฤษภาคม 2024 และเป็นกลุ่มที่กำลังเติบโตอย่างต่อเนื่อง และมีพันธมิตรเป็นกลุ่มอื่น ๆ ที่มักจะใช้ข้อมูล VPN credentials ที่ถูกขโมยมาใช้เพื่อเข้าถึงระบบ

Akira ransomware เป็นกลุ่มที่มีชื่อเสียงในวงการ ransomware ซึ่งได้ประสบปัญหาในการเข้าถึงเว็บไซต์ Tor เมื่อไม่นานนี้ แต่ปัจจุบันได้กลับมาออนไลน์อีกครั้งแล้ว

นักวิจัยรายงานว่ากลุ่ม Fog และ Akira ransomware ได้ดำเนินการโจมตีเป้าหมายอย่างน้อย 30 ครั้ง โดยทั้งหมดเริ่มต้นจากการเข้าถึงเครือข่ายจากระยะไกลผ่าน VPN account ของ SonicWall ในจำนวนนี้ 75% เชื่อมโยงกับกลุ่ม Akira ส่วนที่เหลือเชื่อมโยงกับกลุ่ม Akira ransomware ทั้งนี้สิ่งที่น่าสนใจคือ กลุ่ม ransomware ทั้ง 2 กลุ่มนี้มีการใช้ infrastructure ร่วมกันแสดงถึงความร่วมมืออย่างไม่เป็นทางการ ตามที่ Sophos ได้เคยเผยพร่ไปก่อนหน้านี้

แม้ว่านักวิจัยจะไม่แน่ใจ 100% ว่าช่องโหว่ดังกล่าวสามารถถูกใช้ได้ในทุกกรณี แต่ระบบที่ถูกโจมตีทั้งหมดก็มีความเสี่ยงต่อช่องโหว่ดังกล่าว เนื่องจากใช้เวอร์ชันเก่าที่มีช่องโหว่ และไม่ได้รับการแก้ไข

ในกรณีส่วนใหญ่ เวลาตั้งแต่เกิดการโจมตีจนถึงการเข้ารหัสข้อมูลนั้นใช้เวลาสั้นมาก ประมาณ 10 ชั่วโมง และเวลาที่เร็วที่สุดคือ 1.5-2 ชั่วโมง โดยในการโจมตี Hacker จะใช้วิธีการ Obfuscating เพื่อซ่อน IP addresses ที่แท้จริง

Arctic Wolf ระบุว่า นอกเหนือจากการโจมตีผ่านอุปกรณ์ที่มีช่องโหว่แล้ว พบว่าองค์กรที่ถูกโจมตีไม่ได้เปิดใช้งาน multi-factor authentication (MFA) บน SSL VPN account ที่ถูกโจมตี และไม่ได้ถูกใช้งานผ่าน default port 4433 อีกด้วย

ทั้งนี้ Artic Wolf อธิบายว่า ในกรณีที่ถูกโจมตี สามารถดูได้ผ่าน firewall log ซึ่งจะตรวจพบ event ID 238 (WAN zone remote user login allowed) หรือ event ID 1080 (SSL VPN zone remote user login allowed) หลังจากนั้นก็จะตามมาด้วยข้อความ SSL VPN INFO log หลายรายการ (event ID 1079) ที่ระบุว่าการเข้าสู่ระบบ และการกำหนด IP เสร็จสมบูรณ์แล้ว

ในขั้นตอนต่อมา Hacker จะทำการโจมตีแบบเข้ารหัสอย่างรวดเร็ว โดยมุ่งเป้าไปที่ virtual machine และ backup server เป็นหลัก รวมถึงทำการขโมยข้อมูลที่เกี่ยวข้องกับเอกสาร และซอฟต์แวร์ที่เป็นกรรมสิทธิ์ แต่จะยกเว้นไฟล์ที่มีอายุมากกว่า 6 เดือน หรือ 30 เดือน ในส่วนของ sensitive files

ที่มา : bleepingcomputer

Check Point ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ Zero-Day ของ VPN ที่กำลังถูกใช้ในการโจมตีเพื่อเข้าถึงไฟร์วอลล์จากระยะไกล และพยายามเข้าถึงเครือข่ายของเป้าหมาย

โดยก่อนหน้านี้ทาง Check Point ได้แจ้งเตือนการพบการโจมตีซึ่งมุ่งเป้าหมายไปยังอุปกรณ์ VPN ที่สูงขึ้นอย่างมีนัยสำคัญ และได้เผยแพร่คำแนะนำในการป้องกัน ต่อมาทาง Check Point ได้ค้นพบสาเหตุของปัญหาดังกล่าว ซึ่งเป็นช่องโหว่ Zero-Day ที่กำลังถูกใช้โดย Hacker เพื่อโจมตีเป้าหมาย

CVE-2024-24919 (คะแนน CVSS 8.6/10 ความรุนแรงระดับ High) ช่องโหว่ information disclosure ที่ทำให้ Hacker สามารถอ่านข้อมูลบน Check Point Security Gateways ที่เข้าถึงได้จากอินเทอร์เน็ต ที่มีการเปิดใช้งาน VPN หรือ Mobile Access Software Blades ซึ่งส่งผลกระทบต่ออุปกรณ์ CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways, และ Quantum Spark Appliancesในเวอร์ชัน R80.20.x, R80.20SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x และ R81.20

ทั้งนี้ทาง Check Point ได้ออกอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ดังกล่าวแล้ว ในเวอร์ชันดังต่อไปนี้ :
**

Quantum Security Gateway and CloudGuard Network Security: R81.20, R81.10, R81, R80.40

Quantum Maestro and Quantum Scalable Chassis: R81.20, R81.10, R80.40, R80.30SP, R80.20SP

Quantum Spark Gateways: R81.10.x, R80.20.x, R77.20.x

หากผู้ดูแลระบบต้องการอัปเดตด้วยตนเอง สามารถเข้าไปที่ Security Gateway > Software Updates > Available Updates > Hotfix Updates และคลิก 'Install' โดยจะใช้เวลาในการดำเนินงานประมาณ 10 นาที และจำเป็นต้องทำการ reboot อุปกรณ์

หลังจากที่ทำการอัปเดตแล้ว การพยายามโจมตีเพื่อเข้าสู่ระบบโดยใช้ข้อมูล weak credentials จะถูกบล็อคโดยอัตโนมัติ และถูก logging ในระบบ ซึ่งการอัปเดตดังกล่าวครอบคลุมถึงเวอร์ชันที่ end-of-life (EOL) ไปแล้ว

ทั้งนี้ผู้ดูแลระบบที่ยังไม่สามารถทำการอัปเดตได้ ควรปรับปรุงด้านความปลอดภัยโดยการอัปเดตรหัสผ่าน Active Directory (AD) ที่ Security Gateway ใช้สำหรับการตรวจสอบสิทธิ์

รวมถึง Check Point ได้สร้างสคริปต์ สำหรับตรวจสอบการเข้าถึงระยะไกลที่สามารถอัปโหลดไปยัง 'SmartConsole' และดำเนินการเพื่อตรวจสอบผลลัพธ์ และวิธีการดำเนินการที่เหมาะสม

ที่มา : bleepingcomputer

DNS Tunneling กำลังถูกใช้เพื่อหลีกเลี่ยงมาตรการด้านความปลอดภัย โดยการซ่อนการรับส่งข้อมูลที่เป็นอันตรายในแพ็กเก็ต DNS ทำให้แฮ็กเกอร์สามารถขโมยข้อมูลที่สำคัญ, ซ่อนมัลแวร์ หรือการเชื่อมต่อกับ command-and-control เซิร์ฟเวอร์ได้

Unit 42 ของ Palo Alto Networks พบว่ากลุ่มผู้โจมตีกำลังใช้เทคนิค DNS Tunneling นอกเหนือจากการสร้างช่องทางสื่อสารกับ command-and-control เซิร์ฟเวอร์ และ VPN เช่น การสแกนหาช่องโหว่บนเครือข่าย และการประเมินผลสำเร็จของแคมเปญฟิชชิ่ง

DNS Tunneling สำหรับการติดตามแคมเปญการโจมตี

ตามรายงาน ผู้โจมตีกำลังใช้ประโยชน์จากเทคนิค DNS Tunneling เพื่อติดตามพฤติกรรมของเหยื่อที่เกี่ยวข้องกับการสแปม, ฟิชชิ่ง หรือโฆษณาต่าง ๆ และส่งข้อมูลของเหยื่อกลับไปยังโดเมนที่เป็นอันตราย

ตัวอย่างเช่น ในการโจมตีด้วยฟิชชิ่ง เทคนิค DNS Tunneling ช่วยให้ผู้โจมตีแฝงการติดตามข้อมูลลงใน DNS requests ทำให้ผู้โจมตีสามารถสังเกตการมีส่วนร่วมของเหยื่อกับเนื้อหาฟิชชิ่งที่อยู่บน Content Delivery Networks (CDNs) เพื่อดูว่าอีเมลฟิชชิ่งสำเร็จหรือไม่

พฤติกรรมนี้ถูกพบในแคมเปญ TrkCdn ซึ่งมีเป้าหมายเป็นเหยื่อ 731 ราย โดยใช้ 75 IP Addresses สำหรับ nameservers และในแคมเปญ SpamTracker ซึ่งมีเป้าหมายเป็นสถาบันการศึกษาของญี่ปุ่น โดยใช้ 44 โดเมนสำหรับ tunneling ด้วย IP 35.75.233.210 ทั้งสองแคมเปญใช้วิธีการสร้างชื่อโดเมน และการเข้ารหัสเป็นซับโดเมนแบบเดียวกัน

ผู้โจมตีใช้ประโยชน์จาก DNS logs เพื่อติดตามอีเมลของเหยื่อ และตรวจสอบผลการดำเนินการของแคมเปญ โดยมีการลงทะเบียนโดเมนใหม่ระหว่างเดือนตุลาคม 2020 และมกราคม 2024 ก่อนการเริ่มการโจมตี 2 ถึง 12 สัปดาห์ และทำการติดตามพฤติกรรมเป็นเวลา 9 ถึง 11 เดือน และยกเลิกหลังจากใช้งานมาหนึ่งปี

DNS Tunneling สำหรับการสแกนช่องโหว่

ผู้โจมตีสามารถใช้ DNS Tunneling เพื่อสแกนโครงสร้างพื้นฐานของเครือข่ายโดยการเข้ารหัส IP addresses และเวลาในการรับส่งข้อมูลผ่านทาง tunneling พร้อมกับการ spoofed IP addresses เพื่อค้นหา DNS resolvers ที่เปิดอยู่, ใช้ประโยชน์จากช่องโหว่ของตัว DNS resolver และดำเนินการโจมตีไปยัง DNS นั้น ๆ ซึ่งอาจนำไปสู่การเปลี่ยนเส้นทางไปยังเว็บไซต์ที่เป็นอันตราย หรือการโจมตีแบบ Denial of Service (DoS)

วิธีการนี้ถูกพบในแคมเปญ "SecShow" ที่ผู้โจมตีสแกนโครงสร้างพื้นฐานของเครือข่ายเหยื่ออย่างต่อเนื่อง และดำเนินการโจมตีแบบ reflection attacks

นักวิจัยจาก Unit 42 ระบุว่า "โดยทั่วไปแล้ว แคมเปญนี้จะเน้นเป้าหมายไปที่ DNS resolver ที่เปิดอยู่ ดังนั้นจึงพบว่าเหยื่อส่วนใหญ่มาจากสถาบันการศึกษา, บริษัทเทคโนโลยี และหน่วยงานภาครัฐ ซึ่งเป็นที่ที่มักพบ DNS resolver เปิดใช้งานอยู่"

นอกจากนี้ ผู้โจมตีสามารถใช้เทคนิคเดียวกันนี้เพื่อติดตามเหยื่อหลายรายได้ และกำลังใช้ประโยชน์จาก DNS queries เพื่อตรวจหา configurations ที่ผิดพลาดในองค์กรเป้าหมาย ซึ่งอาจถูกนำไปใช้ในการโจมตีแบบ Denial of Service (DoS), ขโมยข้อมูล หรือติดตั้งมัลแวร์ได้

เพื่อป้องกันการโจมตี ควรมีการใช้งานซอฟต์แวร์ด้านความปลอดภัยที่สามารถตรวจจับรูปแบบ DNS traffic ที่ผิดปกติ และอัปเดตระบบปฏิบัติการ และแอปพลิเคชันอย่างสม่ำเสมอเพื่อแก้ไขช่องโหว่ และระมัดระวังการคลิกลิงก์ที่น่าสงสัยในอีเมล หรือข้อความ

Indicators of Compromise

Domains used for DNS tunneling

85hsyad6i2ngzp[.]com
8egub9e7s6cz7n[.]com
8jtuazcr548ajj[.]com
anrad9i7fb2twm[.]com
aucxjd8rrzh7xf[.]com
b5ba24k6xhxn7b[.]com
cgb488dixfxjw7[.]com
d6zeh4und3yjt9[.]com
epyujbhfhbs35j[.]com
hhmk9ixaw9p3ec[.]com
hjmpfsamfkj5m5[.]com
iszedim8xredu2[.]com
npknraafbisrs7[.]com
patycyfswg33nh[.]com
rhctiz9xijd4yc[.]com
sn9jxsrp23x63a[.]com
swh9cpz2xntuge[.]com
tp7djzjtcs6gm6[.]com
uxjxfg2ui8k5zk[.]com
wzbhk2ccghtshr[.]com
y43dkbzwar7cdt[.]com
ydxpwzhidexgny[.]com
z54zspih9h5588[.]com
3yfr6hh9dd3[.]com
4bs6hkaysxa[.]com
66tye9kcnxi[.]com
8kk68biiitj[.]com
93dhmp7ipsp[.]com
api536yepwj[.]com
bb62sbtk3yi[.]com
cytceitft8g[.]com
dipgprjp8uu[.]com
ege6wf76eyp[.]com
f6kf5inmfmj[.]com
f6ywh2ud89u[.]com
h82c3stb3k5[.]com
hwa85y4icf5[.]com
ifjh5asi25f[.]com
m9y6dte7b9i[.]com
n98erejcf9t[.]com
rz53par3ux2[.]com
szd4hw4xdaj[.]com
wj9ii6rx7yd[.]com
wk7ckgiuc6i[.]com
secshow[.]net
secshow[.]online
secdns[.]site

IP addresses

35.75.233[.]210
202.112.47[.]45

ที่มา: hackread , DNS Tunneling

Cisco แจ้งเตือนช่องโหว่ CVE-2023-20269 ซึ่งเป็นช่องโหว่ Zero-day ใน Cisco Adaptive Security Appliance (ASA) และ Cisco Firepower Threat Defense (FTD) กำลังถูกกลุ่ม Ransomware ใช้ในการโจมตีเพื่อเข้าถึงระบบเครือข่ายของเป้าหมาย (more…)

โดยทั่วไปผู้ไม่หวังดีจะใช้เว็บไซต์ฟิชชิงปลอมในการแพร่กระจายมัลแวร์ เพราะเป็นเรื่องง่ายในการหลอกล่อเหยื่อให้คลิกลิงค์ที่อยู่ในอีเมลฟิชชิง หรือ SMS และมีหลายกรณีที่ผู้ไม่หวังดีปลอมตัวเป็นตัวแทนของผลิตภัณฑ์ หรือแบรนด์ยอดนิยมเพื่อหลอกล่อเหยื่อ สร้างความน่าเชื่อถือ และความถูกต้องเพื่อหลอกผู้ใช้ที่ไม่ได้ระมัดระวัง

Cyble Research and Intelligence Labs (CRIL) รายงานไว้ก่อนหน้านี้ว่าได้ค้นพบเว็บไซต์ฟิชชิงจำนวนมากที่มุ่งเป้าหมายไปที่แอปพลิเคชันต่าง ๆ เช่น เกม, VPN, Remote Desktop (RDP), Video conferencing, เครื่องมือ Converter ออนไลน์ และอื่น ๆ โดยในแคมเปญล่าสุดผู้โจมตีมุ่งเป้าหมายไปที่ผู้ใช้งานแอปพลิเคชัน VPN ซึ่งเป็นเทคโนโลยีที่ช่วยให้ผู้ใช้สามารถสร้างการเชื่อมต่อเครือข่ายที่ปลอดภัย และเป็นส่วนตัว ผ่านเครือข่ายสาธารณะ เช่น อินเทอร์เน็ต เมื่อผู้ใช้เชื่อมต่อกับ VPN ข้อมูลของผู้ใช้จะถูกเข้ารหัสให้เป็นความลับ และป้องกันไม่ให้ถูกดักฟัง หรือการตรวจสอบการเชื่อมต่อได้

เมื่อเร็ว ๆ นี้ CRIL พบการมีอยู่ของเว็บไซต์ของ LetsVPN ปลอมจำนวนมาก ในระหว่างการตรวจสอบหาความเสี่ยง ซึ่งเว็บไซต์ปลอมเหล่านี้มีอินเตอร์เฟซผู้ใช้ร่วมกัน และถูกออกแบบมาเพื่อแพร่กระจายมัลแวร์โดยเฉพาะ โดยปลอมเป็นแอปพลิเคชัน LetsVPN

LetsVPN เป็นแอปพลิเคชัน VPN ที่พัฒนาโดย LetsGo Network ซึ่งมีจุดประสงค์เพื่อเสริมสร้างประสบการณ์ในการใช้งานอินเทอร์เน็ต โดยจะให้การเชื่อมต่อความเร็วสูงพร้อมกับการรักษาความปลอดภัยของอุปกรณ์ผู้ใช้ โดย LetsVPN มีฟังก์ชันที่หลากหลาย เช่น ฟังก์ชันการเชื่อมต่อแบบ Peer-to-Peer, รองรับโปรโตคอลหลายรูปแบบ, ความสามารถในการเรียกดูเว็บไซต์ในภาษาต่าง ๆ, ฟังก์ชันการตัดการเชื่อมต่อ (kill switch) เพื่อเพิ่มความปลอดภัย, ตัวเลือกการจัดการนโยบาย (policy management options) และอื่น ๆ

โดยเว็บไซต์ฟิชชิงมีลักษณะคล้ายกับเว็บไซต์ LetsVPN ทั้งในด้านการดีไซน์ และลักษณะภายนอก ดังที่แสดงในรูปด้านล่าง

รูปด้านล่างแสดงข้อมูล "Whois" ของโดเมนฟิชชิง ซึ่งแสดงให้เห็นว่าโดเมนนี้ถูกลงทะเบียนเมื่อเร็ว ๆ นี้ และมุ่งเป้าหมายไปที่ผู้ใช้ LetsVPN

การวิเคราะห์

มีการระบุว่ามีเว็บไซต์ฟิชชิงหลายแห่งที่ปลอมเป็นเว็บไซต์ LetsVPN ซึ่งเว็บไซต์ฟิชชิงเหล่านี้ถูกออกแบบมาเพื่อหลอกล่อเหยื่อ และล่อลวงให้เหยื่อดาวน์โหลดมัลแวร์ที่เป็นอันตราย

Payload: BlackMoon

เว็บไซต์ LetsVPN ปลอมที่ใช้งานอยู่ในปัจจุบัน

letsvpn[.]club
letsvpn[.]cyou

เว็บไซต์ปลอมเหล่านี้ใช้ในการแพร่กระจายเพย์โหลด BlackMoon banking trojan ซึ่งปลอมตัวเป็นแอปพลิเคชัน VPN ที่ถูกต้อง และสามารถดาวน์โหลดได้ผ่าน URL ต่อไปนี้

hxxps[:]//letsvpn[.]club/kuaiVPN[.]rar
hxxps[:]//letsvpn[.]cyou/down/kuaiVPN[.]rar

BlackMoon หรือที่รู้จักกันในชื่อ KRBanker เป็น banking trojan ที่เน้นการขโมยข้อมูลสำคัญที่เกี่ยวข้องกับการทำธุรกรรมทางการเงิน และธนาคารออนไลน์ ซึ่งถูกพบครั้งแรกในช่วงต้นปี 2014 โดย BlackMoon มีการพัฒนาอยู่ตลอดเวลา โดยใช้วิธีการ และเทคนิคหลายอย่างในการแพร่กระจาย และดักจับข้อมูลประจำตัว กลุ่มเป้าหมายหลักของมัลแวร์ตัวนี้คือบุคคล และองค์กรที่ใช้บริการธนาคารออนไลน์

เพื่อทำให้คอมพิวเตอร์ หรืออุปกรณ์ของเหยื่อติดมัลแวร์นั้น BlackMoon ใช้วิธีการต่าง ๆ รวมถึงการแนบไฟล์ที่เป็นอันตรายในอีเมล, เครื่องมือ Exploit หรือเว็บไซต์ที่ถูกโจมตี เมื่อทำการติดตั้งสำเร็จ โทรจันจะทำงานอย่างลับ ๆ ในเบื้องหลัง โดยซ่อนการทำงานไม่ให้ผู้ใช้งานสังเกตเห็น

มัลแวร์ BlackMoon มีความสามารถต่าง ๆ ที่ช่วยให้สามารถดำเนินกิจกรรมที่เป็นอันตรายได้ ดังนี้

การบันทึกแป้นพิมพ์ (Keylogging) : BlackMoon จะดักจับแป้นพิมพ์ที่เหยื่อป้อนเข้ามา รวมถึงชื่อผู้ใช้, รหัสผ่าน และข้อมูลสำคัญอื่น ๆ ข้อมูลที่ถูกขโมยมาจะถูกส่งไปยัง C2 Server ของผู้โจมตี
การแทรกสคริปต์เว็บ (Web Injection) : BlackMoon สามารถแก้ไขเนื้อหาที่แสดงโดยเว็บเบราว์เซอร์ของเหยื่อ ทำให้สามารถแก้ไข หรือเพิ่มเติมเนื้อหาของหน้าเว็บที่เกี่ยวข้องกับธนาคารออนไลน์ ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลเพิ่มเติม เช่น รหัสความปลอดภัย หรือรายละเอียดการทำธุรกรรม
การเข้าถึงระยะไกล (Remote Access) : โทรจันจะให้การเข้าถึงระยะไกลแก่ผู้โจมตี ทำให้สามารถควบคุมระบบที่โดนโจมตี และนำข้อมูลออกไป หรือดำเนินกิจกรรมที่อันตรายอื่น ๆ
การยึดบัญชี (Account Hijacking) : BlackMoon อาจพยายามเข้าควบคุมบัญชีธนาคารออนไลน์ของเหยื่อ ทำให้ผู้โจมตีสามารถทำธุรกรรมที่ไม่ถูกต้อง หรือเข้าถึงข้อมูลการเงินที่สำคัญได้โดยไม่ได้รับอนุญาต

Payload: Backdoor.