การบีบอัดไฟล์นั้นเป็นรูปแบบการจัดการไฟล์ที่ยอดนิยม เพราะนอกจากจะช่วยลดขนาดไฟล์แล้ว ยังเป็นการช่วยในการจัดระเบียบใฟล์ให้อยู่ที่เดียวกัน ทำให้การเคลื่อนย้ายไฟล์มีความสะดวกมากยิ่งขึ้น แต่แฮ็กเกอร์ก็สามารถที่จะใช้ช่องทางของไฟล์ในประเภทดังกล่าว ในการขโมยข้อมูลของเหยื่อได้
จากรายงานโดยเว็บไซต์ The Hacker News ได้มีการรายงานถึงการตรวจพบถึงการมัลแวร์ประเภทขโมยข้อมูล หรือ Inforstealer ชื่อดังจากอิสราเอลที่มีชื่อว่า RHADAMANTHYS ซึ่งมีความสามารถสูงในการหลบเลี่ยงการตรวจจับจากระบบรักษาความปลอดภัยด้วยการยิง Process ที่หลอกตัวระบบว่าเป็น Process ที่ถูกต้อง (Legitimated) รวมถึงมีฟีเจอร์ต่อต้านการถูกวิเคราะห์ภายใต้ Sandbox Environments เช่น ระบบ Anti-Debugging, Anti-Virtual Machine และระบบหลบหลีกแบบอิงตามเวลา หรือ Time-based Evasion อีกด้วย
ซึ่งตัวมัลแวร์นั้นมีความสามารถในการขโมยข้อมูลรหัสผ่าน และข้อมูลความลับต่าง ๆ ที่หลากหลาย ไม่ว่าจะเป็น ข้อมูลการล็อกอิน, ข้อมูลบนกระเป๋าเงินคริปโตเคอร์เรนซี, ข้อมูลการเข้าเว็บไซต์ต่าง ๆ เป็นต้น อีกทั้งยังมีความสามารถในการเข้ารหัสข้อมูลที่ถูกดูดออกมาได้เพื่อส่งผ่านไปยังเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ผ่าน API อย่าง CryptEncrypt และ CryptDecrypt อีกด้วย รวมไปถึงยังมีเครื่องมือในการจัดการปรับแต่ง Registry ในตัวระบบเพื่อให้มัลแวร์สามารถโจมตีเครื่องได้ในระยะยาว ไม่เพียงเท่านั้น ตัวมัลแวร์ยังสามารถทำงานในรูปแบบ Loader หรือ เป็นมัลแวร์นกต่อเพื่อดาวน์โหลดมัลแวร์ตัวอื่นลงมารันบนระบบของเหยื่อได้อีกด้วย เรียกว่าเป็นภัยอันตรายต่อตัวระบบมาก
ซึ่งการแพร่กระจายของมัลแวร์ตัวดังกล่าวนั้น ทางแฮ็กเกอร์จะใช้วิธีการแบบวิศวกรรมทางสังคม (Social Engineering) เพื่อหลอกลวงให้เหยื่อทำในสิ่งที่ต้องการให้ทำ โดยสำหรับในกรณีตัวอย่างนั้น จะเป็นการใช้อีเมลในภาษาฮีบรู ซึ่งเป็นภาษาท้องถิ่นในประเทศอิสราเอล โดยหลอกลวงผู้รับว่าเป็นอีเมลจากสำนักข่าวดังของประเทศอย่าง Calcalist และ Mako โดยเนื้อหานั้นจะเป็นการหลอกว่าผู้รับกำลังจะถูกฟ้องโดยสำนักพิมพ์เนื่องจากทำการละเมิดลิขสิทธิ์ พร้อมทั้งสั่งการบนอีเมลให้เหยื่อทำการดาวน์โหลดไฟล์ .RAR ซึ่งภายในบรรจุไฟล์สำหรับการรันมัลแวร์ที่มีชื่อว่า “תמונות מפרות זכויות יוצרים.exe” โดยตัวไฟล์นั้นทางทีมวิเคราะห์ระบุว่า ตัวไฟล์นั้นมีขนาด 1,804,072 bytes และ มี SHA256 Hash : A7DBBAD8A1CD038E5AB5B3C6B1B312774D808E4B0A2254E8039036972AC8881A
โดยหลังจากที่ตัวมัลแวร์ได้ติดตั้งลงสู่เครื่องแล้ว มัลแวร์ก็จะเริ่มทำงานด้วยการใช้เครื่องมือตามที่กล่าวมาข้างต้นเพื่อหลบเลี่ยงการตรวจจับ และใช้ไฟล์ msimg32.dll และไฟล์สนับสนุนอื่น ๆ เพื่อตั้งเป็นฐานในการรุกรานตัวระบบของเหยื่อต่อไป
แม้มัลแวร์ดังกล่าวนั้นจะระบาดหนักอยู่ในอิสราเอล แต่ปัจจุบันก็ยังไม่มีรายงานว่าได้มีการระบาดในไทยและภูมิภาคใกล้เคียงหรือยัง ซึ่งทางทีมข่าวขอให้ผู้อ่านมีสติอยู่เสมอเวลาอ่านอีเมล และระมัดระวังในการเปิดไฟล์ต่าง ๆ อยู่เสมอ แม้เนื้อหาที่สั่งให้เปิดไฟล์จะดูน่าหวั่นวิตกเพียงใดก็ตาม
ที่มา : cybersecuritynews.com
————————————————————————————————————————————————————————–
ที่มา : Thaiware / วันที่เผยแพร่ 17 ส.ค.67
Link : https://news.thaiware.com/21292.html