ปัจจุบัน วิธีใหม่ของเหล่าแฮกเกอร์คือพยายามส่ง Ransomware หรือมัลแวร์เรียกค่าไถ่มากับการอัปเดต Windows หรือซอฟต์แวร์ที่ผู้คนไว้ใจ ซึ่งจะส่งผลให้การโจมตีมีโอกาสประสบความสำเร็จมากขึ้น
มัลแวร์ตัวใหม่นี้มีชื่อ HavanaCrypt ค้นพบโดยนักวิจัยจาก Trend Micro ซึ่งได้ปลอมแปลงตัวเองเป็นการอัปเดตจาก Google Software Update และสิ่งที่น่าแปลกใจอีกอย่างคือ เซิร์ฟเวอร์คำสั่งและการควบคุม ของมัลแวร์ใช้โฮสต์บนที่อยู่ IP เว็บโฮสติ้งของ Microsoft
HavanaCrypt นั้นมีการใช้เทคนิคในการโจมตีมากมาย ไม่ว่าจะเป็น การตรวจสอบว่าเครื่องดังกล่าวกำลังทำงานในสภาพแวดล้อมเสมือนจริงหรือไม่ หรือเป็นแค่เครื่องหลอกที่ใช้ดักมัลแวร์ มีการใช้รหัสของตัวจัดการรหัสผ่านโอเพ่นซอร์สอย่าง KeePass Password Safe ระหว่างการเข้ารหัส และการใช้ฟังก์ชัน .Net ที่เรียกว่า “QueueUserWorkItem” เพื่อเพิ่มความเร็วในการเข้ารหัส
HavanaCrypt เป็นหนึ่งในเครื่องมือเรียกค่าไถ่และมัลแวร์อื่นๆ ที่มีจำนวนเพิ่มขึ้นเรื่อยๆ ซึ่งในช่วงไม่กี่เดือนที่ผ่านมาได้มีการเผยแพร่ในรูปแบบของการอัปเดตปลอมสำหรับ Windows 10, Microsoft Exchange และ Google Chrome
ในเดือนพฤษภาคม นักวิจัยด้านความปลอดภัยพบแรนซัมแวร์ที่มีชื่อว่า “Magniber” มันปลอมแปลงเป็นการอัปเดต Windows 10 และเมื่อต้นปีนี้ นักวิจัยที่ Malwarebytes ได้สังเกตเห็นตัวดำเนินการของ Magnitude Exploit Kit ที่พยายามหลอกให้ผู้ใช้ดาวน์โหลด โดยทำให้มัลแวร์เป็นการอัปเดตของ Microsoft Edge
ในตอนนี้ ยังไม่มีวิธีที่แน่ชัดในการป้องกันการโจมตีของ HavanaCrypt โดยตัวผู้ใช้เอง เพราะมันใช้เทคนิคที่ผ่านการตรวจสอบอย่างถูกต้อง ซึ่งก็ต้องรอผู้ให้บริการทั้ง Google และ Microsoft ปิดช่องโหว่ที่แฮกเกอร์ใช้ก่อนครับ
————————————————————————————————————————-
ที่มา : Techhub / วันที่เผยแพร่ 14 ก.ค. 65
Link : https://www.techhub.in.th/havanacrypt-new-malware/
