มัลแวร์ xRAT อ้างตัวเป็นเกมลามก
มัลแวร์ xRAT อ้างตัวเป็นเกมลามก หลอกเข้าฝังตัวบนเครื่องระบบ Windows
การเล่นวิดีโอเกมลามก หรือ หาวิดีโอลามกมารับชมนั้น ถึงแม้จะมีความก้ำกึ่งในเรื่องศีลธรรม และในบางที่อาจจะผิดกฎหมาย แต่ก็ต้องยอมรับว่าเป็นธรรมชาติของมนุษย์ในภาพรวมทำให้ในหลายประเทศนั้นแม้จะต้องเสี่ยงอันตรายหาของเถื่อนมารับชมก็มักจะโอบรับความเสี่ยงกัน แต่บางความเสี่ยงอาจจะอันตรายม��ากกว่าที่ผู้สรรหาคาดการณ์ไว้ เช่นในข่าวนี้
จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบแคมเปญการแพร่กระจายมัลแวร์ประเภทเข้าควบคุมเครื่องจากระยะไกล หรือ RAT (Remote Access Trojan) ที่มีชื่อว่า xRAT หรือเป็นที่รู้จักกันในอีกชื่อหนึ่งว่า QuasarRAT ซึ่งแคมเปญนี้มุ่งเน้นในการเล่นงานกลุ่มผู้ใช้งานระบบปฏิบัติการ Windows ในประเทศเกาหลีใต้ ด้วยการแอบอ้างตัวเองเป็นวิดีโอเกมลามกผ่านวิธีการหลอกลวงเหยื่อแบบการทำวิศวกรรมทางสังคม (Social Engineering
ซึ่งในการแพร่กระจายมัลแวร์ตัวนี้นั้น ทางแฮกเกอร์จะทำการบีบอัดไฟล์เกมปลอมที่มีมัลแวร์ซ่อนอยู่ในรูปแบบไฟล์ Zip ซึ่งภายในไฟล์นั้นจะประกอบด้วยไฟล์ต่าง ๆ มากมายที่ดูคล้ายกับเกมปกติ เช่น Game.exe, Data1.Pak และ ไฟล์สน��ับสนุนอื่น ๆ ซึ่งไฟล์บีบอัดตัวนี้ทำการอัปโหลดขึ้นไปบนบริการ Webhard ซึ่งเป็นบริการรับฝากไฟล์ที่เป็นที่นิยมในประเทศเกาหลีใต้ ซึ่งบริการเว็บในรูปแบบนี้เมื่อมีผู้อัปโหลดไฟล์ใหม่และตั้งชื่อไฟล์ที่น่าสนใจ ก็จะมีผู้เข้ามาซื้อไฟล์จากแพลตฟอร์มโดยที่ผู้ที่อัปโหลดก็จะได้ส่วนแบ่งจากค่าไฟล์นั้น เรียกว่านอกจากจะหลอกให้เหยื่อดาวน์โหลดไฟล์มัลแวร์จากการตั้งชื่อที่น่าสนใจได้แล้ว ยังได้รับรายได้อีก เรียกว่าได้ทั้งขึ้นทั้งล่อง
โดยหลังจากที่เหยื่อทำการดาวน์โหลดไฟล์เกมปลอมแล้วทำการคลายไฟล์ พร้อมทั้งรันไฟล์ Game.exe ขึ้นมา ก็จะพบกับหน้าจอเมนูคล้ายกับตัวเปิดเกม หรือ Launcher ทั่วไป แต่หลังจากที่เหยื่อกดปุ่ม Play เพื่อเล่นเกมนั้น ตัวมัลแวร์ก็จะเริ่มทำงานทันทีด้วยการคัดลอกไฟล์ Data1.Pak ไปยังโฟลเดอร์ Locales_module ภายใต้ชื่อ Play.exe ในขณะเดียวกันตัวมัลแวร์ก็จะทำการคัดลอกไฟล์ Data2.Pak และ Data3.Pak ไปยังโฟลเดอร์ Windows Explorer ภายใต้ชื่อไฟล์ GoogleUpdate.exe และ WinUpdate.db
หลังจากที่ทุกไฟล์เข้าประจำการในโฟลเดอร์ที่กำหนดจนครบแล้ว ตัวมัลแวร์ก็จะทำการรันไฟล์ GoogleUpdate.exe ขึ้นมา โดยตัวไฟล์จะทำการค้นหาไฟล์ WinUpdate.db ที่อยู่ในโฟล์เดอร์เดียวกัน แล้วทำการถอดรหัส (Decryption) ด้วยการใช้งานอัลกอริทึ่ม AEC เพื่อดึงเอาโค้ดมัลแวร์ในรูปแบบ Shellcode ตัวสุดท้ายออกมาแล้วทำการยิงโค้ดดังกล่าวไปยัง Process ที่มีชื่อว่า explorer.exe ซึ่งเป็น Process สำคัญของ Windows ทำให้ตัวมัลแวร์มีสิทธิ์เข้าถึงระบบในระดับสูงสุด (SYSTEM) นอกจากนั้นในการยิงโค้ดเข้าไปยัง Process ดังกล่าว ยังมีการใช้งานฟังก์ชัน EtwEventWrite พร้อมกับคำสั่ง Return Instruction เพื่อปิดการใช้งาน Event Tracing ของ ระบบ Windows Logging ทำให้ปกปิดร่องรอยการติดตั้ง และการทำงานของมัลแวร์จนมิดชิดจนตรวจสอบกลับได้ยาก นอกจากนั้นยังช่วยป้องกันการถูกตรวจจับโดยเครื่องมือป้องกันภัยไซเบอร์ต่าง ๆ บนเครื่องได้อีกด้วย จนเรียกได้ว่าเป็นเทคนิคเพื่อการคงตัวบนระบบ หรือ Persistence ประเภทหนึ่ง
หลังจากทุกอย่างพร้อมแล้ว ก็จะทำการยิงโค้ดตัวสุดท้ายจริง ๆ ลงไป นั่นคือโค้ดของมัลแวร์ xRAT ที่มีประสิทธิภาพในการขโมยข้อมูลหลากหลายรูปแบบ ไม่ว่าจะเป็น เก็บข้อมูลของระบบ, แอบดักจับข้อมูลการใช้งานคีย์บอร์ด, และลักลอบขโมยไฟล์กลับไปให้แฮกเกอร์หรือแม้แต่ส่งไฟล์จากแฮกเกอร์เข้ามาในเครื่อง จากความร้ายกาจดังกล่าว แหล่งข่าวจึงได้ทำการเตือนว่า ขอให้ผู้ใช้งานมีความระมัดระวังในการดาวน์โหลดไฟล์ต่าง ๆ อย่างยิ่งยวด เพื่อความปลอดภัยของข้อมูลและตัวเครื่องเอง
#ติดเทรนด์ #Lemon8ฮาวทู #ป้ายยากับlemon8 #lemon8ไดอารี่ #freedomhack
จากประสบการณ์ส่วนตัวที่เคยพบเจอเหตุการณ์มัลแวร์หลอกลวงในลักษณะคล้าย ๆ กัน สิ่งที่ชัดเจนคือการที่แฮกเกอร์มักจะใช้กลวิธีหลอกล่อที่ดูน่าสนใจหรือถูกใจเป้าหมายมากที่สุด เช่น การแอบอ้างเป็นไฟล์เกมที่ได้รับความนิยม หรือไฟล์สื่อบันเทิงประเภทต่าง ๆ ซึ่งทำให้หลายคนคลิกดาวน์โหลดโดยไม่ทันระวัง การใช้วิศวกรรมสังคม (Social Engineering) เช่นนี้ถือเป็นเทคนิคที่แฮกเกอร์เลือกใช้ได้อย่างมีประสิทธิภาพมาก เพราะมันล่อใจให้ผู้ใช้เปิดไฟล์ที่อาจเป็นอันตรายได้ง่าย ๆ แม้เราจะรู้ว่าไฟล์ที่ดาวน์โหลดมาจากแหล่งที่น่าสงสัยก็ควรหลีกเลี่ยง แต่ในความจริงมักมีข้อยกเว้นที่หลายคนยอมเสี่ยงเพื่อความสนุกหรือความบันเทิง นอกจากนี้มัลแวร์ xRAT มีความน่าสนใจตรงที่มันใช้โค้ดขั้นสูง เช่น อัลกอริทึ่ม AES เพื่อถอดรหัสโค้ดมัลแวร์ และซ่อนตัวใน Process ของ Windows ที่สำคัญอย่าง explorer.exe พร้อมทั้งปิดการทำงานของ Event Tracing เพื่อป้องกันการตรวจจับ การใช้เทคนิคแบบนี้นับว่าน่ากลัวและยากต่อการตรวจสอบ การป้องกันที่ดีที่สุดคือการมีสติและระมัดระวังอย่างสูงในการดาวน์โหลดไฟล์ทุกชนิด โดยเฉพาะไฟล์จากแหล่งที่ไม่น่าเชื่อถือ รวมถึงระวังไฟล์ ZIP ที่อาจซ่อนไฟล์ปฏิบัติการ (exe) อันตรายไว้ สำหรับผู้ใช้งาน Windows ควรติดตั้งโปรแกรมป้องกันไวรัสและมัลแวร์ที่ทันสมัย อัปเดตระบบปฏิบัติการและซอฟต์แวร์อย่างสม่ำเสมอ รวมถึงหลีกเลี่ยงการเปิดใช้งานไฟล์หรือโปรแกรมที่ไม่คุ้นเคย และถ้าเป็นไปได้ควรสำรองข้อมูลสำคัญไว้ในที่ปลอดภัยเป็นประจำ ถึงแม้ว่าวิดีโอเกมหรือเนื้อหาบันเทิงบางประเภทอาจมีความก้ำกึ่งทางศีลธรรมแต่เราก็ไม่ควรเสี่ยงเอาชีวิตและข้อมูลส่วนตัวไปแลกกับความบันเทิง เพราะมัลแวร์เหล่านี้อาจช้อนเลือดข้อมูล รหัสผ่าน หรือแม้แต่ไฟล์ส่วนตัวของเราไปใช้ในทางที่ผิดได้ ท้ายที่สุด อยากให้ทุกคนตระหนักถึงความเสี่ยงและเลือกใช้อินเทอร์เน็ตอย่างระมัดระวัง เพราะความปลอดภัยของเราเริ่มต้นจากการตัดสินใจที่ดีในการใช้ไฟล์และแอปพลิเคชันต่าง ๆ
