มัลแวร์ใหม่ Socelars มุ่งโจมตีระบบ Windows
มัลแวร์ใหม่ Socelars มุ่งโจมตีระบบ Windows เพื่อขโมยบัญชีโฆษณา Facebook
มัลแวร์ประเภทขโมยข้อมูลจากเครื่องของเหยื่อ หรือ Infostealer นั้นเรียกได้ว่าเป็นมัลแวร์ตัวหนึ่งที่กำลังเป็นที่นิยมในกลุ่มแฮกเกอร์ในยุคปัจจุบันที่มีการพัฒนาออกมามากมายหลายตัว และก่อความเสียหายในรูปแบบของข้อมูลรั่วไหลได้อย่างร้ายแรงมากจนมีชุดรหัสผ่านถูกขโมยด้วยมัลแวร์ประเภทนี้นับพันล้านชุด และนี่ก็เป็นอีกหนึ่งมัลแวร์ตัวใหม่ที่ผู้ใช้งานระบบปฏิบัติการ Windows ต้องระวัง
จากรายงานโดยเว็บไซต์ Cyberpress ได้กล่าวถึงการตรวจพบมัลแวร์ประเภท Infostealer ตัวใหม่ที่มีชื่อว่า Socelars โดยมัลแวร์ดังกล่าวนี้จะมุ่งเน้นการโจมตีไปยังกลุ่มผู้ใช้งาน Windows เป็นหลัก ด้วยจุดประสงค์ในการขโมยข้อมูล Session การเข้าใช้งาน บนเว็บเบราว์เซอร์เพื่อที่จะได้เข้าใช้งานบัญชีออนไลน์ (Online Account) โดยที่ไม่มีความจำเป็นต้องใช้รหัสผ่านเพื่อล็อกอิน ซึ่งเป้าหมายหลัก ๆ ที่ตัวมัลแวร์ต้องการขโมยนั้นจะเป็นข้อมูลการเข้าใช้งานบัญชีโฆษณาบน Facebook (Facebook Ads Manager) เพื่อที่จะนำเอาบัญชีของเหยื่อไปใช้ในการยิงโฆษณาหลอกลวง, ลักลอบขโมยเงินที่เติมไว้บนบัญชี หรืออาจจะนำเอาการเข้าใช้งาน (Access) ไปขายต่อให้กับแฮกเกอร์กลุ่มอื่นเพื่อทำกำไร
ในด้านการทำงานของมัลแวร์นั้น ทางทีมวิจัยจาก AnyRun บริษัทผู้พัฒนาเครื่องมือต่อต้านมัลแวร์ ได้เปิดเผยว่า ตัวมัลแวร์นั้นจะสมอ้างตัวเองเป็นซอฟต์แวร์สำหรับการอ่านไฟล์เอกสารสกุล PDF เช่น “PDFreader” โดยถ้าเหยื่อได้เผลอติดตั้งซอฟต์แวร์ปลอมดังกล่าว แทนที่จะเป็นการติดตั้งซอฟต์แวร์ที่ใช้ได้ตามปกติ ตัวซอฟต์แวร์ปลอมกลับทำการสร้างโฟลเดอร์ชื่อว่า “pdfreader2019” แล้วเริ่มทำการขโมยข้อมูลบนเครื่องในทันที ด้วยการเริ่มโจมตีเว็บเบราว์เซอร์บนเครื่อง เช่น Chrome และ Firefox เพื่ออ่านไฟล์ต่าง ๆ ที่เกี่ยวข้องกับ Cookies อาทิ เช่น ฐานข้อมูล (Database) Cookies SQLite เพื่อดึงข้อมูล Session Cookies, Access Token, และ ข้อมูลระบุตัวผู้ใช้งาน (Identifier) เพื่อที่จะเข้าใช้งานบัญชีออนไลน์โดยไม่ต้องล็อกอิน หลังจากนั้นตัวมัลแวร์ก็จะทำการใช้ข้อมูลที่ขโมยมาได้ เข้าขโมยข้อมูลต่าง ๆ ที่อยู่บนบัญชีโฆษณา Facebook อีกที โดยครอบคลุมตั้งแต่ หมายเลขผู้ใช้บริการ (Account ID), การจำกัดการใช้จ่ายงบ (Spending Limits), อีเมล, ข้อมูลเพจ และวิธีการจ่ายเงิน (Payment Methods) ที่เหยื่อใช้งานอยู่ เช่น Paypal และ บัตรเครดิต เป็นต้น
สำหรับในส่วนการทำงานเชิงเทคนิคของมัลแวร์นั้น ทางทีมวิจัยเผยว่า ตัวมัลแวร์จะเริ่มต้นด้วยการสำรวจลาดเลาของระบบ (System Reconnaissance) และ ตรวจสอบสภาพแวดล้อม (Environment) ของตัวระบบ ตามมาด้วยการเพิ่มสิทธิ์ในการเข้าใช้งานระบบ (System Privilege) แบบเล็ดลอดการถูกตรวจสอบโดยระบบป้องกัน User Account Control (UAC) ด้วยการใช้งานเทคนิค COM Auto-Elevation ซึ่งจะช่วยให้ตัวมัลแวร์สามารถอัปเกรดสิทธิ์โดยอัตโนมัติได้ผ่านทาง cmlua.dll และ ICMLuaUtil หลังจากนั้นตัวมัลแวร์ก็จะทำการสร้าง Mutex ชื่อ “patatoes” เพื่อป้องกันการรันตัวเองซ้ำซ้อน 2 รอบขึ้นมา แล้วจึงทำการติดต่อกับ URL ชื่อว่า iplogger[.]org เพื่อใช้ในการตรวจสอบ (Tracking) หมายเลข IP แล้วจึงทำให้ตัวเองค้าง (Crash) ให้คล้ายคลึงกับตัวแอปพลิเคชันทำงานล้มเหลว เพื่อหลอกลวงระบบตรวจสอบของเหยื่อ และทำงานตามขั้นตอนที่กล่าวมาข้างต้น
ทางทีมวิจัยยังได้แนะนำวิธีการตรวจสอบและป้องกันมัลแวร์ดังกล่าวมาด้วยดังนี้
หลีกเลี่ยงการใช้งานแอปพลิเคชันแปลก ๆ เช่น “PDFreader” โดยให้ใช้งานเครื่องมือจากนักพัฒนาที่มีชื่อเสียงอย่าง Adobe หรือ Foxit แทน
ใช้นโยบาย (Policy) ในการเข้าถึงไฟล์ที่เกี่ยวข้องกับ Cookies อย่างเข้มงวดที่สุด รวมทั้งใช้เครื่องมือจัดการอุปกรณ์ปลายทาง (Endpoints) เพื่อจับตาการ
ปิดระบบอัปเกรดสิทธิ์อัตโนมัติของ UAC และสแกนหา Mutex ชื่อว่า “patatoes”
ใช้งานระบบสภาพแวดล้อมจำลอง หรือ Sandbox เพื่อตรวจสอบไฟล์ต้องสงสัยก่อนเปิดใช้งานทุกครั้ง
อัปเดตแพทช์บน Windows และ เว็บเบราว์เซอร์อย่างสม่ำเสมอเพื่ออุดรอยรั่ว เพิ่มความปลอดภัยให้กับระบบ
จากประสบการณ์ที่ได้ศึกษามัลแวร์ Socelars ตัวนี้ ผมพบว่าเป็นภัยคุกคามที่น่ากลัวมากสำหรับผู้ใช้งานระบบ Windows โดยเฉพาะคนที่ดูแลบัญชีโฆษณา Facebook เพราะมันไม่ต้องการแค่รหัสผ่าน แต่เข้าไปขโมยข้อมูล Session ซึ่งทำให้แฮกเกอร์เข้าถึงและควบคุมบัญชีได้ทันทีเหมือนเจ้าของบัญชีเอง สิ่งที่ทำให้มัลแวร์ตัวนี้อันตรายยิ่งขึ้นคือมันแอบอ้างเป็นโปรแกรมอ่านไฟล์ PDF ปลอม เช่น "PDFreader" ซึ่งเป็นซอฟต์แวร์ที่หลายคนอาจติดตั้งโดยไม่สงสัย พอเผลอติดตั้งแล้ว มัลแวร์จะสร้างโฟลเดอร์ชื่อ "pdfreader2019" เพื่อซ่อนตัวและโจมตีเว็บเบราว์เซอร์ เช่น Chrome และ Firefox โดยดึงตัวข้อมูลใน Cookies และฐานข้อมูล SQLite ที่เก็บ Session, Access Token และ Identifier ต่างๆ เพื่อใช้เข้าสู่ระบบโดยไม่ต้องใส่รหัสผ่าน จากนั้นมัลแวร์ก็จะขโมยข้อมูลต่าง ๆ ของบัญชีโฆษณาบน Facebook รวมถึง Account ID, Spending Limits, อีเมล, ข้อมูลเพจ และวิธีการชำระเงิน เช่น Paypal หรือบัตรเครดิต ซึ่งแฮกเกอร์สามารถใช้บัญชีเหล่านี้ยิงโฆษณาหลอกลวงหรือขโมยเงินในบัญชีได้ทันที ในแง่เทคนิค มัลแวร์จะเพิ่มสิทธิตัวเองอย่างลับๆ ผ่านเทคนิค COM Auto-Elevation เพื่อเล็ดลอด UAC และสร้าง Mutex ชื่อ "patatoes" เพื่อป้องกันตัวเองรันซ้ำซ้อน พร้อมทั้งติดต่อกับเซิร์ฟเวอร์ iplogger[.]org เพื่อตรวจสอบ IP ของเหยื่อก่อนล่มโปรแกรม เพื่อหลอกล่อระบบตรวจจับให้เข้าใจผิดว่ามันทำงานล้มเหลว ผมแนะนำว่าผู้ใช้งาน Windows ควรระมัดระวังอย่างมากกับซอฟต์แวร์ที่ไม่รู้จัก โดยเฉพาะโปรแกรมอ่าน PDF ที่ไม่ได้มาจากผู้พัฒนาที่น่าเชื่อถืออย่าง Adobe หรือ Foxit ควรตั้งนโยบายการเข้าถึงไฟล์ Cookies อย่างเข้มงวด และใช้เครื่องมือ endpoint protection ที่มีประสิทธิภาพในการตรวจจับพฤติกรรมผิดปกติ นอกจากนี้ การปิดระบบอัปเกรดสิทธิ์อัตโนมัติของ UAC และสแกนหา Mutex ที่ชื่อ "patatoes" ก็ช่วยลดความเสี่ยงได้ดี การใช้งาน Sandbox หรือ environment จำลองเพื่อตรวจสอบไฟล์ก่อนเปิดใช้งานจริงจะช่วยกันมัลแวร์ได้อีกชั้นหนึ่ง และการอัปเดต Windows กับเว็บเบราว์เซอร์อย่างสม่ำเสมอก็เป็นสิ่งจำเป็นเพื่ออุดช่องโหว่ที่อาจถูกโจมตี จากที่ลองติดตั้งโปรแกรมอ่าน PDF ปลอมในสภาพแวดล้อมทดลอง ผมเห็นเลยว่ามัลแวร์นี้สามารถซ่อนตัวและปฏิบัติงานอย่างรวดเร็วโดยแทบไม่แสดงอาการ จึงแนะนำให้ผู้ใช้ที่เกี่ยวข้องกับงานโฆษณาบน Facebook หมั่นตรวจสอบบัญชีอย่างถี่ถ้วน และใช้การยืนยันตัวตนแบบ 2 ขั้นตอนเพื่อเสริมความปลอดภัย ยังไงก็อย่าประมาทกับความเสี่ยงจากมัลแวร์ประเภท Infostealer ตัวนี้เด็ดขาด
