ตรวจพบแอป 7-Zip ปลอม ดาวน์โหลดแล้วติดมัลแวร์แน่นอน
ตรวจพบแอป 7-Zip ปลอม ดาวน์โหลดแล้วติดมัลแวร์แน่นอน
ซอฟต์แวร์สำหรับการบีบอัดไฟล์นั้น เรียกได้ว่าถึงจะมีอยู่มากมายแต่ที่คุ้นหูก็คงจะมีกันแค่เพียงไม่กี่เจ้า เช่น WinZip, WinRar, และ 7-Zip ซึ่งอย่างหลังนี้ก็ได้กลายมาเป็นประเด็น แต่ไม่ได้มาจากช่องโหว่ความปลอดภัยแบบของ WinZip กับ WinRar แต่มาจากผู้ที่แอบอ้างชื่อไปใช้ในเชิงลบ
จากรายงานโดยเว็บไซต์อย่างเป็นทางการของบริษัทผู้พัฒนาเครื่องมือต่อต้านมัลแวร์ Malwarebytes ได้กล่าวถึงเหตุการณ์ที่สมาชิกของเว็บบอร์ดชื่อดัง Reddit ภายในห้อง r/pcmasterrace ได้เข้ามาตั้งกระทู้เกี่ยวกับการตรวจพบซอฟต์แวร์ 7-Zip ปลอม ซึ่งผู้ใช้งานที่เป็นนักประกอบเครื่องคอมพิวเตอร์ (PC Builder) รายนี้ได้กล่าวว่าได้ดาวน์โหลดซอฟต์แวร์ 7-Zip ปลอมจากเว็บไซต์ 7zip[.]com หลังจากที่ได้ดูวิดีโอการสอนจากบน Youtube แล้วพึ่งมารับทราบภายหลังว่า ว่าเว็บไซต์อย่างเป็นทางการของ 7-Zip นั้นคือ 7-zip.org ไม่ใช่เว็บไซต์ดังกล่าวแต่อย่างใด
ทางผู้ใช้งานยังเปิดเผยอีกว่า หลังจากที่ดาวน์โหลดไฟล์ดังกล่าวลงบนไดร์ฟ USB แล้วนำเอามาติดตั้งลงบนเครื่องที่ประกอบขึ้นมาใหม่นั้น ก็ได้เกิดข้อผิดพลาด (Error) 32‑bit versus 64‑bit ขึ้นบ่อยครั้งจน�ล้มเลิกการติดตั้ง และหลังจากที่เวลาผ่านไปประมาณ 2 สัปดาห์ ตัว Windows Defender ก็มีการแจ้งเตือนตรวจจับมัลแวร์ที่มีชื่อว่า Trojan:Win32/Malgent!MSR ทำให้สามารถคาดการณ์ได้ว่ามาจากซอฟต์แวร์ 7-Zip ปลอมดังกล่าว
โดยซอฟต์แวร์ 7-Zip ปลอมนี้ ตัวติดตั้ง (Installer) นั้นเมื่อตรวจสอบแล้วพบว่าเป็นการดัดแปลงไฟล์ติดตั้งของจริงที่มีชื่อว่า 7zfm.exe แต่ตัวไฟล์นั้นมีการเซ็นใบรับรอง (Cetificate) ภายใต้ชื่อบริษัทปลอม Jozeal Network Technology Co., Limited ซึ่งใบรับรองดังกล่าวนั้นตรวจพบว่าปัจจุบันได้ถูกยกเลิก (Revoke) ไปเป็นที่เรียบร้อยแล้ว ซึ่งตัวไฟล์นี้ถ้าติดตั้งได้สำเร็จ ก็จะสามารถทำงานได้เหมือนกับ 7-Zip ปกติทุกประการ แต่ภายในนั้นกลับมีการบรรจุองค์ประกอบ (Components) เพิ่มเติมมา 3 ตัว นั่นคือ
Uphero.exe — ตัวจัดการเซอร์วิส และตัวจัดการอัปเดต (Update loader)
Hero.exe — ไฟล์ที่ถูกคอมไฟล์ด้วยภาษา Go ทำหน้าที่เป็น Proxy Payload ตัวหลัก เพื่อเปลี่ยนเครื่องของเหยื่อให้เป็น Proxy Node เพื่อให้บุคคลที่สาม (3rd Party) ส่งข้อมูลโดยอาศัยหมายเลข IP ของเหยื่อได้
Hero.dll — ไฟล์ไลบรารี (Library) สนับสนุน
ซึ่งไฟล์ชุดดังกล่าวนั้นจะถูกวางไว้ในโฟลเดอร์ของระบบ (System) C:WindowsSysWOW64hero ซึ่งเป็นโฟลเดอร์ที่มีสิทธิ์ในการเข้าถึงระบบ (Privilege) ในระดับสูงทำให้มักไม่ถูกตรวจสอบ นอกจากนั้นยังพบว่าไฟล์ชุดนี้มีการใช้ช่องทางอัปเดตที่เป็นอิสระจากตัวติดตั้ง โดยใช้ช่องทาง update.7zip[.]com/version/win-service/1.0.0.2/Uphero.exe.zip อีกด้วย
ตัวไฟล์มัลแวร์หลัก hero.exe จะทำการดึงการตั้งค่า (Configuration) มาจากโดเมนเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ที่ถูกสลับสับเปลี่ยนอยู่เรื่อย ๆ แต่ทุกอันอยู่ภายใต้ธีม “smshero” เพื่อทำการสร้าง Proxy ขาออก (Outbound) ผ่านทางพอร์ต 1000 หรือ 1002 นอกจากนั้นทางทีมวิจัยยังพบอีกว่า มีการใช้การเข้ารหัสแบบ XOR ด้วยกุญแจ (Key) 0x70 เพื่อซ่อนเร้นข้อความคำสั่งอีกด้วย ซึ่งหลังจากที่เครื่องของเหยื่อได้กลายเป็น Proxy Node ภายใต้เครือข่ายโครงสร้างพื้นฐาน (Infrastructure) ของแฮกเกอร์แล้ว เลข IP ของเหยื่อที่ถูกนำมาใช้งานเป็น Proxy เหล่านี้ก็จะถูกนำเอาไปขายต่อให้อาชญากรไซเบอร์รายอื่น ๆ นำเอาไปใช้ในการฉ้อโกง, การปิดบังตัวตนเพื่อก่ออาชญากรรม หรือการเอาไปใช้ในการระดมรับชมโฆษณาเพื่อสร้างรายได้
นอกจากความสามารถหลักแล้ว ตัวมัลแวร์ยังมีความสามารถในการหลีกเลี่ยงการถูกตรวจจับอย่างหลากหลาย เช่น
การตรวจจับสภาพแวดล้อมจำลองอย่าง VMware, VirtualBox, QEMU และ Parallels
การต่อต้านการถูกดีบั๊ก (Anti-Debugging)
การตรวจสอบว่ามีการใช้งาน Runtime API resolution และ PEB
การตรวจสอบสภาพแวดล้อมของระบบ (Environment) รวมไปถึงการทำ Process Enumeration และ Registry Probing
นอกจากนั้นทางทีมวิจัยยังพบว่าตัวมัลแวร์ยังมีการสนับสนุนระบบการเข้ารหัสเพื่อปกป้องการจราจรของข้อมูล (Traffic) อย่างหลากหลาย เช่น AES, RC4, Camellia, Chaskey, XOR encoding และ Base64 อีกด้วย
เรียกได้ว่ามัลแวร์ดังกล่าวนั้นมีความอันตราย และมีความร้ายกาจจริง ๆ ดังนั้นผู้อ่านจะต้องมีความระมัดระวังในการตรวจสอบแหล่งดาวน์โหลดซอฟต์แวร์ก่อนทุกครั้งที่จะมีการดาวน์โหลดมาติดตั้งบนเครื่องเพื่อความปลอดภัย
จากประสบการณ์ของผู้ใช้ทั่วไป การติดตั้งซอฟต์แวร์บีบอัดไฟล์ เช่น 7-Zip เป็นเรื่องที่ช่วยให้จัดการไฟล์ได้สะดวก แต่เมื่อได้มาเจอกับกรณีของแอป 7-Zip ปลอมนี้ ทำให้เราได้เรียนรู้ข้อควรระวังในการดาวน์โหลดและติดตั้งซอฟต์แวร์เพิ่มมากขึ้น โดยเฉพาะอย่างยิ่งเมื่อพบว่าแอปปลอมนี้แอบแฝงมัลแวร์ที่มีความสามารถสูง ทั้งการสร้าง proxy node เพื่อส่งข้อมูลผ่าน IP เครื่องของเรา และยังมีระบบอัปเดตแยกออกมาเพื่อหลีกเลี่ยงการตรวจจับ นอกจากนี้ มัลแวร์ยังมีเทคนิคป้องกันการวิเคราะห์อย่างดี เช่น ตรวจสภาพแวดล้อมจำลอง, ต้านการดีบักดิ้ง, ใช้การเข้ารหัสหลายรูปแบบ รวมถึงวางไฟล์ลงในโฟลเดอร์ระบบที่มีสิทธิ์ระดับสูงอย่าง C:WindowsSysWOW64hero ด้วย การถูกแฝง Trojan:Win32/Malgent!MSR ถือเป็นสัญญาณเตือนที่ควรให้ความสำคัญมาก เพราะการที่เครื่องกลายเป็น Proxy Node หมายความว่า IP ของเราสามารถถูกนำไปใช้ในกิจกรรมที่ผิดกฎหมายอื่น ๆ เช่น การซ่อนตัวตนออนไลน์, การฉ้อโกง หรือการขุดรายได้จากโฆษณาโดยไม่ได้รับอนุญาต สิ่งที่สำคัญที่สุดคือการตรวจสอบแหล่งที่มาของไฟล์ติดตั้งอย่างละเอียดว่าตรงกับเว็บไซต์หลัก 7-zip.org หรือไม่ สำหรับผู้ที่ประกอบหรือดูแลระบบคอมพิวเตอร์เป็นประจำ แนะนำให้ใช้โปรแกรมแอนตี้มัลแวร์ที่มีการอัปเดตฐานข้อมูลล่าสุดอย่างสม่ำเสมอ และควรตั้งค่าการสแกนอัตโนมัติเมื่อมีไฟล์เข้ามาใหม่ ๆ รวมถึงหมั่นตรวจสอบ Certificate ของไฟล์ติดตั้งว่ามีความน่าเชื่อถือหรือไม่ เพื่อป้องกันการถูกหลอกใช้ซอฟต์แวร์ปลอม นอกจากนี้ ความรู้จากการติดตามข่าวสารความปลอดภัยไซเบอร์นั้นถือเป็นสิ่งสำคัญ เพราะจะช่วยให้เรารู้ทันภัยใหม่ ๆ และวิธีรับมืออย่างรวดเร็ว ท้ายที่สุดนี้การดาวน์โหลดซอฟต์แวร์จากแหล่งที่น่าเชื่อถือ รวมถึงการศึกษาวิธีตรวจสอบไฟล์และ Certificate จะช่วยเสริมความปลอดภัยให้กับเครื่องของเรา และลดความเสี่ยงจากมัลแวร์อย่างมั่นใจ ถือเป็นบทเรียนสำคัญสำหรับผู้ที่ใช้งานคอมพิวเตอร์ทุกคนในยุคที่ภัยไซเบอร์มีความซับซ้อนและแฝงตัวมาทุกที่
