ไมโครซอฟต์เตือนให้ระวังมัลแวร์แบบ VBS จาก Whatsapp
ไมโครซอฟต์เตือนให้ระวังมัลแวร์แบบ VBS จาก Whatsapp ที่สามารถฝ่าระบบป้องกันของ UAC เข้ายึดเครื่องได้
Whatsapp เป็นแอปพลิเคชันแชทยอดนิยมในระดับโลก ซึ่งก็แน่นอนเมื่อใช้กันทั่วโลก ก็จะทำให้มีเหยื่อจำนวนมากมายให้แฮกเกอร์เข้าเล่นงาน นำมาสู่กรณีบนข่าวนี้ในที่สุด
จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการที่ทางไมโครซอฟท์ได้ออกมาแจ้งเตื�อนให้ผู้ใช้งานระวังมัลแวร์ในรูปแบบ VBS (Visual Basic Script) ที่ถูกส่งผ่านทางช่องทางแอปพลิเคชันแชทยอดนิยม Whatsapp โดยมัลแวร์ตัวนี้สามารถเข้าฝ่าระบบป้องกันแบบ UAC (User Account Control) ระหว่างการอัปเกรดสิทธิ์ในการเข้าถึงระบบของตัวมัลแวร์ ส่งผลให้ตัวมัลแวร์สามารถเข้าครอบงำเครื่องโดยสมบูรณ์ได้ โดยมัลแวร์นี้ได้ถูกตรวจพบโดยทางทีมวิจัยของทางไมโครซอฟท์ในช่วงเดือนกุมภาพันธ์ที่ผ่านมา
สำหรับการเข้าถึงเครื่องของเหยื่อนั้น แฮกเกอร์จะใช้วิธีการทำวิศวกรรมทางสังคม (Social Engineering) ร่วมกับการใช้เครื่องมือที่มีอยู่แล้วบนระบบ (Living-off-the-Land) ในการปล่อยมัลแวร์ลงสู่เครื่องของเหยื่อ ซึ่งถึงแม้จะยังไม่ชัดเจนว่าแฮกเกอร์หลอกลวงเหยื่อได้อย่างไร แต่ก็แน่ชัดว่า แฮกเกอร์จะเริ่มต้นจากการติดต่อเหยื่อผ่านทาง WhatsApp แล้วหลอกลวงให้เหยื่อกดดาวน์โหลดไฟล์สคริปท์ VBS ซึ�่งหลังจากที่รันสคริปท์ดังกล่าวแล้ว ตัวสคริปท์ก็จะสร้างโฟลเดอร์ล่องหน (Hidden Folder) ภายในโฟลเดอร์ชื่อว่า "C:ProgramData" แล้วทำการวางไฟล์เครื่องมือของ Windows ตัวจริง (Windows Utilities) ชื่อว่า "curl.exe" (ซึ่งถูกเปลี่ยนชื่อใหม่เป็น "netapi.dll") และ "bitsadmin.exe" (ซึ่งถูกเปลี่ยนชื่อใหม่เป็น "sc.exe") ลงในโฟลเดอร์ดังกล่าว
หลังจากนั้นตัวมัลแวร์ก็จะเริ่มทำการสร้างความคงทนบนระบบ (Persistence) และ ดาวน์โหลดไฟล์มัลแวร์ (Payload) ตัวที่สองในรูปแบบไฟล์ MSI ด้วยการดึงสคริปท์ VBS ตัวที่ 2 ลงมาจากบริการที่น่าไว้วางใจที่แฮกเกอร์ฝากไฟล์ไว้ อย่าง AWS S3, Tencent Cloud และ Backblaze B2 ลงมา หลังจากที่ขั้นตอนทุกอย่างเรียบร้อย มัลแวร์ก็จะเริ่มรันคำสั่งเพิ่มสิทธิ์ในการใช้งานระบบ (Privilege) ผ่านทาง cmd.exe โดยรันไปเรื่อย ๆ จนกว่าการอัปเกรดผ่านทาง UAC จะทำสำเร็จ ถ้าทำไม่สำเร็จก็จะบังคับปิด (Forced Close) แล้วทำใหม่ไปเรื่อย ๆ หลังจากสำเร็จแล้ว มัลแวร์ก็จะทำการแก้ไข Windows Registry ในส่วน HKLMSoftwareMicrosoftWin เพื่อให้มั่นใจว่ามัลแวร์จะถูกรันใหม่ทุกครั้งที่มีการรีบูตระบบใหม่ หลังจากทุกอย่างเสร็จสิ้น มัลแวร์ก็จะทำหน้าที่ในการลักลอบขโมยข้อมูลในเครื่อง (Exfiltration) ต่อไป
#ติดเทรนด์ #Lemon8ฮาวทู #lemon8ไดอารี่ #freedomhack #whatsapp
ในยุคที่การติดต่อสื่อสารผ่านแอปพลิเคชันอย่าง WhatsApp กลายเป็นสิ่งจำเป็นในชีวิตประจำวัน ผู้ใช้งานควรตื่นตัวและระมัดระวังภัยคุกคามไซเบอร์ที่แฝงตัวมากับข้อความหรือไฟล์ที่ไม่คุ้นเคย โดยเฉพาะมัลแวร์แบบ VBS ที่ใช้เทคนิควิศวกรรมสังคม (Social Engineering) ชวนให้เรากดดาวน์โหลดไฟล์อันตรายโดยไม่รู้ตัว จากประสบการณ์ตรง การได้รับข้อความหรือไฟล์จากผู้ติดต่อที่เรารู้จักก็อาจไม่ปลอดภัยเสมอไป เพราะบัญชีของคนเหล่านั้นอาจถูกแฮกเกอร์แฝงตัวเข้าควบคุมแล้วและส่งต่อมัลแวร์อย่างเป็นทอดๆ ดังนั้นจึงควรตรวจสอบให้แน่ชัดก่อนดาวน์โหลดไฟล์ใดๆ โดยเฉพาะไฟล์สคริปต์ที่ไม่ค่อยใช้ในชีวิตประจำวัน มัลแวร์ตัวนี้เรียกได้ว่าเป็นภัยเงียบ เพราะใช้เครื่องมือของ Windows ที่มีอยู่แล้วในระบบ เช่น curl.exe และ bitsadmin.exe แต่เปลี่ยนชื่อ เพื่อหลีกเลี่ยงระบบตรวจจับ อีกทั้งยังสร้างโฟลเดอร์ล่องหนและแก้ไข Windows Registry เพื่อให้มัลแวร์รันซ้ำทุกครั้งที่บูตเครื่อง นั่นหมายความว่า แม้ว่าคุณจะรีสตาร์ตเครื่องล้างบางไปแล้ว มัลแวร์นี้ก็ยังมีโอกาสกลับมาได้อีกครั้ง เคล็ดลับสำคัญที่ช่วยลดความเสี่ยงคือ การตั้งค่าความปลอดภัยของ Windows UAC ให้เข้มงวด และหลีกเลี่ยงการกดไฟล์หรือคลิกลิงก์ที่ส่งมาจากแหล่งที่ไม่น่าเชื่อถือ นอกจากนี้ควรติดตั้งโปรแกรมแอนตี้มัลแวร์ที่อัพเดตล่าสุดและสแกนระบบเป็นประจำ ท้ายที่สุด ความรู้และความระมัดระวังของผู้ใช้งานเองเป็นด่านแรกในการป้องกันตนเองจากมัลแวร์รูปแบบใหม่ๆ โดยเฉพาะอย่างยิ่งในแพลตฟอร์มยอดนิยมอย่าง WhatsApp ที่มีผู้ใช้จำนวนมากและเป็นเป้าหมายของแฮกเกอร์เสมอ
