มัลแวร์ตัวใหม่ใช้เอกสารปลอมหลอกเข้าเครื่องเหยื่อ
พบมัลแวร์ตัวใหม่ใช้เอกสารปลอมหลอกเข้าเครื่องเหยื่อ แล้วปิด Windows Defender เพื่อโจมตีต่อ
Windows Defender นั้นมักจะเป็นเครื่องป้องกันภัยไซเบอร์ด่านแรก ๆ สำหรับผู้ใช้งาน Windows เสมอ เนื่องมาจากการที่เป็นเครื่องมือป้องกันแบบฟรีที่ติดตั้งมาพร้อมกับ Windows และนั่นก็ทำให้มัลแวร์หลายตัวพยายามที่จะปิดเครื่องมือป้องกันตัวนี้
จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบมัลแวร์นกต่อ หรือ Loader ตัวใหม่ที่ไม่ถูกระบุชื่อ ที่มีความสามารถในการเข้าลอบปิดเครื่องมือป้องกันภัยไซเบอร์ Windows Defender เพื่อที่จะทำการปล่อยมัลแวร์ประเภทเข้าควบคุมเครื่องจากระยะไกล หรือ RAT (Remote Access Trojan) ที่มีชื่อว่า Amnesia RAT ที่มีความสามารถในการเข้าขโมยรหัสผ่านจากเว็บเบราว์เซอร์, ข้อมูลทางการเงิน, เหรียญในกระเป๋าเงินคริปโตเคอร์เรนซี (Crypto Wallet) และการเข้าควบคุมเครื่องจากระยะไกล กับมัลแวร์ประเภทเรียกค่าไถ่จากเหยื่อ หรือ Ransomware ชื่อ Hakuna Matata ที่มีความสามารถในการเข้ารหัสไฟล์บนเครื่องของเหยื่อเป็นไฟล์สกุล NeverMind12F แล้วใช้งาน WinLocker เพื่อล็อกเครื่องของเหยื่อ และนับเวลาถอยหลัง กดดันเหยื่อให้จ่ายเงินค่าไถ่
ทางทีมวิจัยจาก Fortinet บริษัทผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ระดับชั้นนำ ได้เผยข้อมูลรายละเอียดเกี่ยวกับมัลแวร์ Loader ไร้ชื่อดังกล่าวว่า แฮกเกอร์นั้นจะทำการหลอกลวงเหยื่อด้วยการส่งไฟล์ที่อ้างว่าเป็นเอกสารทางธุรกิจให้กับเหยื่อ (คาดว่าเป็นการส่งผ่านทางอีเมล ซึ่งเป็นวิธีการหลอกลวงแบบ Phishing) ในรูปแบบไฟล์บีบอัด ที่เมื่อคลายออกมาก็จะมีไฟล์ Internet Shortcut สกุล LNK ซึ่งถ้าเหยื่อกดเปิด ก็จะนำไปสู่การรันโค้ด PowerShell ที่จะพาไปสู่การดาวน์โหลดสคริปท์มัลแวร์นกต่อตัวแรกมาจากคลังดิจิทัล หรือ Repo (Repository) ที่มีชื่อเสียงอย่าง Github ลงมารันบนเครื่อง ซึ่งสคริปท์ตัวนี้มีการแฝงโค้ดเพื่อสร้างความสับสนให้กับระบบตรวจจับ (Obfuscation)
หลังจากนั้นสคริปท์ดังกล่าวก็จะเริ่มทำหน้าที่ในการสร้างความคงทนของมัลแวร์บนระบบ (Persistence), สร้างเอกสารปลอ��ม (Decoy) เพื่อหันเหความสนใจของเหยื่อ และทำการติดต่อการแฮกเกอร์ผ่านทาง Telegram Bot API เพื่อทำการยืนยันว่าได้ทำการฝังตัวเองลงบนเครื่องได้สำเร็จแล้ว จากนั้นตัวมัลแวร์นกต่อก็จะทำการใช้งานซอฟต์แวร์แอนตี้ไวรัสปลอม Defendnot ซึ่งเป็นเครื่องมือที่สร้างขึ้นมาเพื่อวิจัยจุดอ่อนของ Windows Defender มาทำการลงทะเบียนลงบนเครื่องว่าเป็นเครื่องมือแอนตี้ไวรัสตัวใหม่ เพื่อให้ Windows Defender ปิดตัวเอง (Disabled) ลงอย่างอัตโนมัติ
จากนั้นตัวมัลแวร์ก็จะเข้าสู่ช่วงของการสำรวจลาดเลาบนเครื่องของเหยื่อ (Environment Reconnaissance) ซึ่งจะไม่ใช่การสำรวจแบบครั้งเดียวจบ แต่เป็นการทำงานติดตามสถานการณ์บนเครื่องอย่างต่อเนื่อง แล้วจึงทำการปล่อยโมดูล (Module) สำหรับบันทึกภาพหน้าจอลงมาใช้งานเพื่อเก็บข้อมูลพฤติกรรมการใช้งานของเหยื่อ และแอบส่งรูปกลับไป (Exfiltration) ให้กับแฮกเกอร์
เมื่อขั้นตอนดังกล่าวเสร็จสิ้นลง ก็จะตามมาด้วยขั้นตอนรุนแรงที่เริ่มจากการล็อคดาวน์เครื่อง (System Lockdown), ปิดเครื่องมือของผู้ดูแล (Administrative Tool), ทำลายกลไกการกู้ระบบ (Recovery), เข้ายึดไฟล์ (File Hijacking) ที่เกี่ยวข้องเพื่อไม่ให้เหยื่อสามารถเปิดใช้งานแอปพลิเคชันของจริงที่จะนำไปสู่การป้องกันการรุกรานได้ แล้วจึงมาถึงขั้นตอนการปล่อยไฟล์มัลแวร์ (Payload) ตัวสุดท้ายซึ่งอาจเป็นมัลแวร์ Amnesia RAT หรือ Hakuna Matata ตามที่กล่าวไว้ข้างต้นก็ได้ เรียกได้ว่าถึงแม้จะเป็นเพียงมัลแวร์ Loader แต่ก็มีความอันตรายอย่างยิ่ง จนทำให้ผู้ที่มีความเสี่ยงอย่างเช่นผู้ใช้งานในกลุ่มธุรกิจจะต้องให้ความระมัดระวังอย่างเข้มงวด
จากประสบการณ์ส่วนตัว ผมเคยเห็นกรณีมัลแวร์ส่งผ่านไฟล์อีเมลปลอมที่คล้ายกับรายงานนี้มาก่อน ซึ่งมัลแวร์ประเภท Loader ที่ใช้เทคนิคสร้างเอกสารปลอม (Decoy) เพื่อเบี่ยงเบนความสนใจจริงๆแล้วเป็นกลยุทธ์ที่มีประสิทธิภาพสูงมาก เพราะทำให้ผู้ใช้ไม่ได้สงสัยหรือรีบลบไฟล์ทันที ในบทความนี้พูดถึงการใช้ไฟล์ LNK ที่เป็น Internet Shortcut ในการเริ่มต้นปฏิบัติการของมัลแวร์ ซึ่งผมพบว่าผู้ใช้งานทั่วไปมักไม่รู้จักภัยจากไฟล์นามสกุลนี้ และเมื่อคลายไฟล์ ZIP ออกมา แล้วเปิดไฟล์นี้ ระบบจะเรียกใช้ PowerShell เพื่อดาวน์โหลดและติดตั้งมัลแวร์ต่อ ทำให้ขั้นตอนการติดตั้งซับซ้อนและยากต่อการตรวจจับในครั้งแรก นอกจากนี้ การที่มัลแวร์ใช้โค้ด Obfuscation เพื่อปกปิดกิจกรรม ทำให้โปรแกรมป้องกันไวรัสตรวจจับยากขึ้นมาก ส่วนการแฝงตัวในเครื่องผ่าน Persistence และการรายงานผลกลับไปให้แฮกเกอร์ผ่าน Telegram Bot API ยังแสดงถึงความทันสมัยของวิธีการโจมตีในยุคนี้ จาก OCR พบชื่อสคริปต์ต่าง ๆ อย่าง kira.ps1 และ SCRRC4ryuk.vbe ซึ่งน่าจะเป็นสคริปต์ที่ใช้ในกระบวนการติดตั้งหรือควบคุมเครื่องที่ติดมัลแวร์ บ่งบอกถึงความซับซ้อนและการใช้เทคนิคหลายชั้นในการโจมตี ผมแนะนำให้ทุกคนที่ใช้ Windows ไม่ว่าจะในงานธุรกิจหรือส่วนตัว ต้องเพิ่มความระมัดระวังในการเปิดไฟล์แนบในอีเมลที่ไม่แน่ใจ และควรตั้งค่าระบบป้องกันไวรัสให้ทันสมัยอยู่เสมอ รวมถึงเรียนรู้และเข้าใจวิธีการทำงานของ Windows Defender และวิธีสังเกตการถูกบล็อกหรือปิดการทำงานอย่างผิดปกติ ถ้าต้องการเสริมความปลอดภัย ควรพิจารณาการใช้โปรแกรมแอนตี้ไวรัสเพิ่มเติมที่มีระบบตรวจจับพฤติกรรมและเทคนิคการป้องกันขั้นสูงเพื่อลดความเสี่ยงจากมัลแวร์แบบนี้ อย่าลืมสำรองข้อมูลสำคัญไว้ในที่ปลอดภัยเป็นประจำด้วย เพราะเมื่อไฟล์ถูกเข้ารหัสโดย Ransomware จะยากต่อการกู้คืนได้ในภายหลัง สรุปคือมัลแวร์ Loader ตัวใหม่ที่รายงานนี้ แสดงให้เห็นว่าแฮกเกอร์พัฒนาเครื่องมือและวิธีลอบโจมตีอย่างต่อเนื่อง พร้อมใช้เทคโนโลยีสมัยใหม่เพื่อเลี่ยงการตรวจจับ และคุกคามความปลอดภัยของผู้ใช้ Windows ได้อย่างมาก การรู้ทันภัยและเตรียมการป้องกันที่เหมาะสมคือกุญแจสำคัญในการลดความเสียหายที่จะเกิดขึ้น
