มัลแวร์ตัวใหม่ CrystalRAT
มัลแวร์ตัวใหม่ CrystalRAT มาพร้อมหลากความสามารถทั้งควบคุมเครื่อง, ขโมยข้อมูล และก่อกวนเหยื่อ
มัลแวร์ประเภทเข้าควบคุมเครื่องของเหยื่อจากระยะไกล หรือ RAT (Remote Access Trojan) นั้นมีอยู่มากมายหลากชนิด หลากรูปแบบ ในบางอย่างก็อาจจะมีฟีเจอร์ประหลาด ๆ เช่น ตัวนี้
จากรายงานโดยเว็บไซต์ Bleeping Computer ได้กล่าวถึงการที่ทีมวิจัยจาก Kaspersky บริษัทผู้พัฒนาซอฟต์แวร์แอนตี้ไวรัสชื่อดัง ได้ตรวจพบการซื้อขายมัลแวร์ RAT ตัวใหม่ CrystalRAT ในรูปแบบมัลแวร์สำหรับการเช่าใช้ หรือ MaaS (Malware-as-a-Service) ซึ่งการจำหน่ายจ่ายแจกก็จะแบ่งเป็นแบบหลายระดับหลายราคาที่จะมีฟีเจอร์แตกต่างกันออกไปไม่ต่างจากการเช่า หรือซื้อขายซอฟต์แวร์ตามปกติ โดยมัลแวร์ตัวนี้ได้ถูกโปรโมตอย่างหนักผ่านทางช่องทางบริการแชทชื่อดัง Telegram และแพลตฟอร์มรับชมวิดีโออย่าง Youtube
ทีมวิจัยได้กล่าวว่า มัลแวร์ตัวนี้มีคุณสมบัติคล้ายคลึงกับมัลแวร์ประเภทขโมยข้อมูล หรือ Infostealer ลูกครึ่ง RAT ตัวหนึ่งที่มีชื่อว่า WebRAT (Salat Stealer) โดยตัวมัลแวร์นั้นถูกสร้างขึ้นบนพื้นฐานของภาษา Go มีหน้าจอการใช้งาน (Panel) ที่เป็นมิตรใช้งานง่าย ซึ่งจะมาพร้อมกับเครื่องมือสำหรับสร้างไฟล์สำหรับการส่งมัลแวร์ (Payload Builder) ที่สามารถใส่ฟีเจอร์เสริมให้กับไฟล์ที่ถูกสร้างขึ้นด้วยเครื่องมือนี้อย่างมากมาย เช่น การดัดแปลงไฟล์สำหรับรันตามต้องการ (Executable Customization), การล็อกพื้นที่ที่ตัวไฟล์จะสามารถทำงานได้ (Geoblocking) และการเพิ่มระบบต่อต้านการถูกวิเคราะห์ (Anti-Analysis) เช่น ระบบต่อต้านการถูกดีบั๊ก (Anti-Debugging), ระบบตรวจจับสภาพการจำลองเครื่อง (VM หรือ Virtual Machine) และการตรวจจับการใช้งานพรอกซี่ (Proxy Detector) เป็นต้น โดย Payload ที่ถูกสร้างขึ้นจากเครื่องมือชิ้นนี้จะถูกบีบอัดในรูปแบบ Zlib และเข้ารหัสด้วยอัลกอริทึมแบบ ChaCha20 อีกด้วย
ในด้านการทำงานของมัลแวร์นั้น ตัวมัลแวร์จะติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ผ่านทางช่องทาง WebSocket เพื่อส่งข้อมูลต่าง ๆ ของระบบเครื่องที่ติดมัลแวร์กลับไปยังเซิร์ฟเวอร์ C2 ให้ทำข้อมูลของเครื่อง (Profiling) และติดตามเครื่องที่ติดมัลแวร์อย่างใกล้ชิด (Tracking) ความสามารถในการปฏิบัติการของมัลแวร์นั้นจะแบ่งออกเป็น องค์ประกอบ (Component) และโมดูล (Module) ต่าง ๆ มากมาย เช่น
ส่วน Infostealer ที่ถึงแม้จะถูกทางทีมพัฒนาปิดการใช้งานเพื่อรออัปเกรดก็ตาม แต่ทางทีมวิจัยก็ตรวจพบว่า ส่วนนี้มีความสามารถในการขโมยข้อมูลจากเว็บเบราว์เซอร์ที่ถูกสร้างขึ้นบนพื้นฐานของ Chromium ด้วยการใช้งานเครื่องมือหลายตัว เช่น ChromeElevator Tool, Yandex และ Opera ไม่เพียงเท่านั้น ยังมีความสามารถในการขโมยข้อมูลจากแอปพลิเคชันต่าง ๆ บนเดสก์ท็อป เช่น Steam, Discord, และ Telegram อีกด้วย
โ��มดูลสำหรับการเข้าถึงเครื่องจากระยะไกล (Remote Access) จะมีการใช้งานการรันคำสั่งผ่านทาง CMD, และ อัปโหลดดาวน์โหลดไฟล์จากเครื่องของเหยื่อ, ค้นหาไฟล์ระบบ (System Files), และควบคุมเครื่องตามเวลาจริง (Real-Time) ผ่านทาง VNC (Virtual Network Computing)
มีเครื่องมือที่ช่วยให้ทำงานคล้ายคลึงกับมัลแวร์แบบสอดแนม หรือ Spyware ที่ช่วยให้แฮกเกอร์สามารถแอบบันทึกภาพ และเสียงของเหยื่อผ่านทางกล้องและไมโครโฟนของเครื่องเหยื่อได้
มีความสามารถในการดักจับการพิมพ์ด้วยการใช้งาน Keyloger และการขโมยและดัดแปลงข้อมูลบน Clipboard ผ่านทาง Clipper Tool ซึ่งมักจะใช้ในการตรวจจับหาข้อมูลที่อยู่ของกระเป๋าเงินคริปโตเคอร์เรนซี (Wallet) และสับเปลี่ยนเป็นของแฮกเกอร์แทน
แต่ที่มัลแวร์ตัวนี้พิเศษกว่าตัวอื่นคือ มีการเพิ่มฟีเจอร์แกล้งเหยื่อ (Prank) ไว้ให้แฮกเกอร์ใช้รังแกเหยื่อได้อีกด้วย โดยฟีเจอร์นี้ สามา�รถทำสิ่งต่อไปนี้ได้
เปลี่ยนฉากพื้นหลัง หรือ Wallpaper บนเครื่อง
เปลี่ยนมุม (Angle) การแสดงผล (Display) บนเครื่องของเหยื่อ
สั่งชัตดาวน์เครื่อง
เปลี่ยนรูปแบบของการใช้งานปุ่มเมาส์
ปิดการใช้งานเมาส์ และคีย์บอร์ด
แสดงผลการแจ้งเตือน (Notification) ปลอม
เปลี่ยนตำแหน่งของเคอร์เซอร์บนหน้าจอ
ซ่อนองค์ประกอบต่าง ๆ บนหน้าจอ เช่น ทาสก์บาร์ (Taskbar), ไอคอนบนหน้าจอ, Task Manager, และ Command Prompt
เปิดหน้าจอแชท เพื่อพูดคุยกับเหยื่อ
#ติดเทรนด์ #Lemon8ฮาวทู #lemon8ไดอารี่ #มัลแวร์ #freedomhack
จากประสบการณ์ส่วนตัวและการติดตามข่าวสารเกี่ยวกับมัลแวร์ในช่วงหลัง ผมพบว่าเทคโนโลยีมัลแวร์สมัยนี้พัฒนาไปไกลมาก CrystalRAT เป็นตัวอย่างที่ชัดเจนของมัลแวร์ประเภท RAT ที่ไม่ได้มีแค่การลอบเข้าควบคุมเครื่องอย่างเดียว แต่มาพร้อมฟีเจอร์ขโมยข้อมูลสำคัญ เช่น ข้อมูลล็อกอิน บัญชีคริปโต และข้อมูลส่วนตัวจากเว็บเบราว์เซอร์และแอปพลิเคชันยอดนิยมอย่าง Steam, Discord และ Telegram สิ่งที่น่าสนใจอีกอย่างคือฟีเจอร์ Prank ที่เหมือนได้รับการพัฒนาให้กลายเป็นเครื่องมือแกล้งเหยื่อที่ครบเครื่อง เช่น เปลี่ยนพื้นหลังหน้าจอ ปิดการใช้งานเมาส์และคีย์บอร์ด หรือแม้แต่แสดงแจ้งเตือนปลอม ทั้งหมดนี้อยู่ในมือแฮกเกอร์ ทำให้ความเสียหายที่จะเกิดขึ้นไม่ใช่แค่การสูญเสียข้อมูล แต่มันสร้างความรำคาญและความหวาดกลัวให้ผู้ใช้ด้วย นอกจากนี้ ระบบการป้องกันการถูกวิเคราะห์มัลแวร์ (Anti-Debugging, VM detection, Proxy detection) ที่ถูกฝังอยู่ใน CrystalRAT ทำให้มันอันตรายมากเพราะยากต่อการตรวจจับและวิเคราะห์เทคโนโลยีเหล่านี้แสดงให้เห็นถึงการพัฒนารูปแบบใหม่ของ MaaS ที่ผู้ไม่หวังดีสามารถเข้าถึงเครื่องมือคุณภาพและเฉพาะทางได้อย่างง่ายดายผ่านช่องทางอย่าง Telegram และ YouTube จากคำแนะนำส่วนตัว ผมแนะนำให้ผู้ใช้ทั่วไปและองค์กรต้องเพิ่มความระมัดระวัง โดยติดตั้งซอฟต์แวร์แอนตี้ไวรัสที่มีการอัปเดตอยู่เสมอ เช่น Kaspersky และไม่คลิกลิงก์หรือดาวน์โหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ รวมถึงควรตั้งค่าความปลอดภัยบนบัญชีผู้ใช้อย่างรัดกุม เช่น ใช้รหัสผ่านที่แข็งแรงและเปิดใช้งานการยืนยันตัวตนสองขั้นตอน สุดท้าย การทำความเข้าใจมัลแวร์อย่าง CrystalRAT จะช่วยให้เราเตรียมตัวรับมือและป้องกันความเสียหายที่จะเกิดขึ้นได้ดียิ่งขึ้น เทคโนโลยีที่พัฒนาอย่างรวดเร็วนี้ ทำให้ผู้ใช้ต้องมีความรู้และความระมัดระวังควบคู่กันไปเป็นอย่างยิ่ง
