ตรวจพบแคมเปญมัลแวร์ใหม่ มาแบบแพกคู่
ตรวจพบแคมเปญมัลแวร์ใหม่ มาแบบแพกคู่ Gh0st RAT และ CloverPlus
สมัยนี้ผู้อ่านอาจจะได้เห็นโปรเพื่อความคุ้มค่าอย่าง 1 แถม 1 หรือแม้แต่นโยบายของรัฐที่อะไรก็พลัส แต่สิ่งหนึ่งที่หลายคนคงไม่อยากเจอแน่นอนคือ มัลแวร์แบบพลัสอีกตัวหนึ่งพ่วงมาด้วย อย่างเช่นในกรณีนี้
จากรายงานโดยเว็บไซต์ SCWorld ได้กล่าวถึงการตรวจพบแคมเปญแพร่กระจายมัลแวร์ประเภทยิงโฆษ��ณา หรือ Adware ที่มีชื่อว่า CloverPlus ซึ่งมีความสามารถในการยิงโฆษณาในรูปแบบหน้าต่างซ้อน (Pop Up) ลงบนเครื่องของเหยื่อเพื่อทำรายได้จากคลิ๊ก โดยทีมวิจัย Splunk Threat Research Team จากบริษัทผู้พัฒนาเครื่องมือรักษาความปลอดภัยไซเบอร์ในระดับองค์กร Splunk ซึ่งทางทีมวิจัยพบว่าแคมเปญนี้นั้นไม่ได้เพียงแค่ปล่อยมัลแวร์ตัวดังกล่าวเท่านั้น แต่ยังได้มีการแถมมัลแวร์ประเภทเข้าควบคุมเครื่องจากระยะไกล หรือ RAT (Remote Access Trojan) ลงบนเครื่อง เพื่อเข้าควบคุมเครื่องของเหยื่อได้อย่างสมบูรณ์อีกด้วย
ซึ่งตัวแคมเปญจะเริ่มจากการปล่อยมัลแวร์นกต่อ (Loader) ที่มีการสร้างความสับสนให้กับระบบตรวจจับ (Obfuscation) ลงเครื่องเป็นลำดับแรก โดยมัลแวร์นกต่อตัวนี้จะทำการติดตั้งมัลแวร์ CloverPlus ลงบนเครื่องเพื่อสร้างรายได้ให้กับแฮกเกอร์ที่อยู่เบื้องหลังในทันที ตามมาด้วยการฝังไฟล์มัลแวร์ (Payload) ของมัลแวร์ Gh0st RAT ในรูปแบบไฟล์ DLL ลงบนเครื่อง โดยตัวมัลแวร์ตัวนี้จะมีการป้องกันไม่ให้มีการรัน (Execution) จากสภาพแวดล้อม (Environment) แบบ %temp% อย่างเด็ดขาด เพื่อเป็นการรับประกันว่า ตัวมัลแวร์จะเข้าทำการควบคุม Token, ผู้ใช้งาน (User), ระบบค้นหาเครือข่าย (Network Discovery), ทำโปรไฟล์ระบบ (System Profiling), และสร้างความคงทนของมัลแวร์บนระบบ (Persistence) โดยหลีกเลี่ยงการทำงานบนสภาพแวดล้อมจำลอง (Virtual Machine) ไปในเวลาเดียวกัน มัลแวร์ตัวนี้มีความสามารถที่ร้ายกาจเนื่องจากมาพร้อมกับฟีเจอร์ตรวจจับการพิมพ์ (Keyloging) และ การเข้าความคุมเดสก์ท็อปจากระยะไกล (Remote Desktop) ที่ช่วยให้แฮกเกอร์สามารถลักลอบขโมยข้อมูลอ่อนไหว เช่น รหัสผ่านต่าง ๆ ได้อย่างง่ายดาย รวมทั้งเข้าควบคุมเครื่องเพื่อทำการเคลื่อนไหวในวงกว้าง (Lateral Movement) เพื่อแพร่กระจายมัลแวร์อื่น ๆ หรือ เข้าครอบงำระบบที่เชื่อมต่ออยู่กับเครื่องของเหยื่อ
#ติดเทรนด์ #Lemon8ฮาวทู #lemon8ไดอารี่ #มัลแวร์ #freedomhack
จากประสบการณ์การใช้งานคอมพิวเตอร์และอินเทอร์เน็ต ผมพบว่าแคมเปญมัลแวร์แพกคู่แบบ Gh0st RAT และ CloverPlus ไม่ใช่เรื่องไกลตัวเลย เพราะคอมพิวเตอร์หรือโน้ตบุ๊กที่ไม่ได้ติดตั้งโปรแกรมป้องกันไวรัสหรือไม่อัปเดตระบบอยู่เสมอ จะเสี่ยงต่อการติดมัลแวร์ได้ง่ายมาก โดยเฉพาะ CloverPlus ซึ่งเป็น Adware ที่สร้างความรำคาญด้วยการยิงโฆษณาแบบ Pop Up ซ้อนหน้าต่างขึ้นมาเรื่อยๆ ทำให้ผู้ใช้รู้สึกรบกวนและทำงานไม่สะดวก ในขณะเดียวกัน Gh0st RAT มัลแวร์ที่ทำงานเป็น Remote Access Trojan ที่ติดตั้งไฟล์ DLL ป้องกันการรันในสภาพแวดล้อมชั่วคราวอย่าง %temp% ซึ่งเป็นเทคนิคเพิ่มความยุ่งยากต่อการตรวจจับ ผมเคยอ่านเจอในฟอรั่มเกี่ยวกับเทคนิคการทำ Obfuscation ของมัลแวร์นกต่อ (Loader) ที่ทำให้ระบบตรวจจับไวรัสและซอฟต์แวร์รักษาความปลอดภัยทำงานยากขึ้น คนทั่วไปจึงควรใช้มาตรการเพิ่มความปลอดภัย เช่น การติดตั้งโปรแกรมป้องกันมัลแวร์ที่มีฟีเจอร์ตรวจจับพฤติกรรม การสแกนไฟล์แปลกปลอม รวมถึงระมัดระวังการดาวน์โหลดซอฟต์แวร์หรือเปิดลิงก์จากแหล่งที่ไม่น่าเชื่อถือ สำหรับผู้ที่สนใจการรักษาความปลอดภัยไซเบอร์ ผมแนะนำให้ศึกษาการทำโปรไฟล์ระบบและการจำแนกสภาพแวดล้อม เพื่อให้สามารถจำกัดการทำงานของไฟล์ไม่ให้รันใน VM ซึ่งเป็นเทคนิคหนึ่งที่มัลแวร์ใช้หลีกเลี่ยงการตรวจจับ นอกจากนี้ควรตั้งค่าระบบให้สามารถตรวจสอบการพิมพ์ (Keylogging) และกิจกรรมเชื่อมต่อระยะไกล (Remote Desktop) อย่างละเอียด เพื่อลดความเสี่ยงการโดนขโมยข้อมูลสำคัญ สุดท้าย การรู้จักแคมเปญ malware แบบนี้ช่วยให้เราตื่นตัวและพร้อมรับมือความเสี่ยงทางไซเบอร์ได้อย่างมีประสิทธิภาพมากขึ้น การสำรองข้อมูลและตั้งค่าความปลอดภัยขั้นสูงในระบบจึงเป็นสิ่งจำเป็นในยุคข้อมูลข่าวสารปัจจุบัน
