แฮกเกอร์ใช้ PyInstaller ซ่อนมัลแวร์ Xworm
แฮกเกอร์ใช้ PyInstaller ซ่อนมัลแวร์ Xworm ไว้ภายใน แล้วปลอมเป็นอัปเดตปลอมหลอกเหยื่อ
จากรายงานโดยเว็บไซต์ SCWorld กล่าวถึงการที่ทีมวิจัยจาก Point Wild ได้ตรวจพบการที่แฮกเกอร์ได้นำเอาเครื่องมือสำหรับผู้พัฒนาซอฟต์แวร์ (Developer) อย่าง PyInstaller มาใช้ในการซุกมัลแวร์ Xworm ไว้ภายในไฟล์ที่ดูไม่มีพิษมีภัย โดยแฮกเกอร์จะนำเอาไฟล์ที่จะใช้เป็นพาหะ มาแทรกโค้ดของมัลแวร์ลงไปด้วย PyInstaller เพื่อสร��้างไฟล์สำหรับรัน (Executable) ขึ้นมาจากไฟล์สคริปท์ ซึ่งจะส่งผลให้เหยื่อที่เปิดไฟล์ขึ้นมานั้นรู้สึกไม่ผิดสังเกต ในขณะที่เบื้องหลัง (Background) นั้นทำการรันติดตั้งมัลแวร์ตามสคริปท์ที่สอดแทรกเข้าไป ในขณะเดียวกันก็ส่งผลให้ตัวมัลแวร์สามารถเล็ดลอดระบบตรวจจับของเครื่องเหยื่อได้อีกด้วย
โดยภายในตัวโค้ดนั้น ทางทีมวิจัยได้ตรวจพบโค้ดลวง (Dummy) ชื่อว่า "_IAT_PHANTOM_FIX" ซึ่งคาดว่ามีไว้เพื่อต่อต้านการถูกวิเคราะห์ (Anti-Analysis) โดยเครื่องมือวิเคราะห์มัลแวร์ ทั้งยังมีการปิดระบบสแกนไวรัสของตัว Windows ชื่อ Antimalware Scan Interface (AMSI) ด้วยการใช้งาน AMSI Memory Patching อีกด้วย
สำหรับตัวสคริปท์มัลแวร์ (Payload) ที่ซ่อนอยู่ภายในไฟล์นั้น หลังจากที่ถูกปล่อยออกมาจากตัวไฟล์พาหะแล้ว ก็จะเข้าไปซ่อนตัวอยู่ภายในโฟลเดอร์ %LOCALAPPDATA% บนระบบของเหยื่อภายใต้ชื่อไฟล์ที�่ดูเหมือนกับไฟล์ทั่วไป เช่น "Win.Kernel_Svc_AJ8iOw.exe" แล้วจึงทำการซ่อน (Hidden) ตัวไฟล์มัลแวร์เองปะปนรวมกับไฟล์ระบบอื่น ๆ โดยมัลแวร์ XWorm V7.4 ซึ่งเป็นรุ่นที่ตกเป็นข่าวนี้ หลังจากฝังลงเครื่องสำเร็จ ก็จะทำการติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ด้วยการใช้งานกุญแจลับ (Secret Key) ที่ถูกเข้ารหัสแบบ AES เพื่อรับคำสั่งโจมตี โดยความสามารถในการโจมตีระบบของเหยื่อนั้น จะครอบคลุมตั้งแต่ การขโมยรหัสผ่านต่าง ๆ, การลักลอบเข้าถึงไฟล์บนเครื่อง, การแอบใช้งานกล้องเว็บแคม (Webcam) เพื่อสอดแนมเหยื่อ ไปจนถึงการใช้งานเครื่องของเหยื่อมาเป็นส่วนหนึ่งในการยิงระบบที่ใหญ่กว่า หรือ DDoS (Distributed Denial-of-Service) ได้เลยทีเดียว
#ติดเทรนด์ #Lemon8ฮาวทู #lemon8ไดอารี่ #Pylnataller #freedomhack
จากประสบการณ์ส่วนตัว ผมมักจะเห็นข่าวแฮกเกอร์ใช้เทคนิคขั้นสูงในการปลอมไฟล์เพื่อหลีกเลี่ยงการตรวจจับมัลแวร์ การใช้ PyInstaller เป็นวิธีที่แฮกเกอร์เลือกมาเพื่อซ่อนมัลแวร์ Xworm ซึ่งเป็นภัยร้ายแรง เพราะมันทำให้ไฟล์มัลแวร์ดูเหมือนไฟล์ธรรมดาที่ปลอดภัย จึงทำให้ผู้ใช้ทั่วไปเปิดใช้งานโดยไม่รู้ตัว สิ่งที่น่ากังวลคือมัลแวร์ตัวนี้มีการปิดระบบสแกนไวรัส AMSI ใน Windows ด้วยวิธี AMSI Memory Patching ซึ่งทำให้มัลแวร์นี้แทบจะซ่อนตัวได้เนียนกริบ อีกทั้งยังใช้โค้ดลวงชื่อ "_IAT_PHANTOM_FIX" ที่ช่วยให้แฮกเกอร์ตรวจจับและหลบหลีกการวิเคราะห์โค้ด ทำให้ผู้เชี่ยวชาญด้านความปลอดภัยต้องใช้วิธีวิเคราะห์ที่ซับซ้อนมากขึ้น ในขั้นตอนการทำงาน มัลแวร์จะซ่อนตัวในโฟลเดอร์ %LOCALAPPDATA% และใช้ชื่อไฟล์ที่ดูเหมือนไฟล์ระบบปกติ เช่น "Win.Kernel_Svc_AJ8iOw.exe" เพื่อหลอกให้เหยื่อไม่สงสัย ซึ่งเทคนิคการซ่อนไฟล์แบบนี้ทำให้การตรวจพบไฟล์มัลแวร์ยากขึ้นมาก ความสามารถของ Xworm V7.4 ไม่ได้จำกัดแค่การขโมยรหัสผ่านหรือข้อมูลส่วนตัวเท่านั้น แต่ยังสามารถเปิดใช้งานกล้องเว็บแคมเพื่อสอดแนม และใช้คอมพิวเตอร์ของเหยื่อในการโจมตีระบบอื่น ๆ ผ่านการโจมตีแบบ DDoS ซึ่งเป็นอันตรายอย่างมากสำหรับทั้งบุคคลและองค์กร จากประสบการณ์ ผมแนะนำว่าผู้ใช้ทุกคนควรระมัดระวังในการดาวน์โหลดและเปิดไฟล์โดยเฉพาะไฟล์ที่ได้รับจากแหล่งที่ไม่น่าเชื่อถือ รวมถึงต้องอัปเดตซอฟต์แวร์และระบบความปลอดภัยอย่างสม่ำเสมอ และใช้โปรแกรมแอนตี้ไวรัสที่มีความสามารถตรวจจับภัยไซเบอร์สมัยใหม่ที่สามารถจับพฤติกรรมมัลแวร์แบบนี้ได้อย่างมีประสิทธิภาพ ยิ่งในยุคที่แฮกเกอร์พัฒนาเทคนิคหลบเลี่ยงมากขึ้น ผู้ใช้ต้องเพิ่มความรู้และความระมัดระวังสูงสุดในการรับมือภัยคุกคามดังกล่าว
