จากรายงานโดยเว็บไซต์ Cyber Security News ได้รายงานถึงกลยุทธ์ใหม่ของแฮกเกอร์ในการแพร่กระจายมัลแวร์ Valey RAT ซึ่งเป็นมัลแวร์ประเภทเข้าควบคุมเครื่องจากทางไกล (Remote Access Trojan หรือ RAT) ด้วยวิธีการที่ซับซ้อน เกี่ยวพันไปถึงไฟล์ 2 ประเภท นั่นคือ MSI (Microsoft Silent Installer เป็นไฟล์สำหรับการรันเพื่อติดตั้งซอฟต์แวร์ประเภทหนึ่ง) และ ไฟล์ PNG ซึ่งการตรวจพบดังกล่าวนั้นเป็นผลงานของทีมวิจัยจากบริษัท Intezer Labs ซึ่งเป็นบริษัทผู้เชี่ยวชาญด้านเทคโนโลยีต้านภัยไซเบอร์
ทางทีมวิจัยได้ระบุว่าในการโจมตีดังกล่าวนั้น แฮกเกอร์จะลวงให้เหยื่อทำการดาวน์โหลดไฟล์ติดตั้งนามสกุล MSI ที่ปลอมตัวเป็นซอฟต์แวร์ที่มีอยู่จริงลงสู่เครื่อง โดยหลังจากที่เหยื่อได้ทำการติดตั้ง ตัวไฟล์ MSI ที่ถูกออกแบบมาเป็นพิเศษนั้นจะใช้กลไก CustomAction ของ Windows Installer เพื่อทำการรันโค้ดอันตรายขึ้นมา ซึ่งนำไปถูกการถอดรหัสเพื่อแปลงออกมาเป็นไฟล์ DLL (libcef.dll) ที่ทำหน้าที่เป็นมัลแวร์นกต่อสำหรับการดาวน์โหลดมัลแวร์ตัวจริง (Loader) โดยมัลแวร์นกต่อตัวนี้นั้นมีชื่อว่า PNGPlug
พร้อมกับไฟล์รูปภาพสกุล .PNG ที่ดูเหมือนไม่มีพิษมีภัย 2 ไฟล์ออกมา แต่แท้ที่จริงแล้วในไฟล์รูปภาพเหล่านั้นกลับซ่อนโค้ดอันตรายสำหรับการทำงานร่วมกับมัลแวร์นกต่อตามที่กล่าวไว้ข้างต้น
สำหรับการทำงานของมัลแวร์ PNGPlug นั้นก็เรียกได้ว่าซับซ้อนยิ่งกว่ามัลแวร์นกต่อทั่วไป เนื่องจากตัวมัลแวร์นั้นจะทำการแพทช์เพื่อดัดแปลงไฟล์ DLL บนเครื่องของเหยื่อที่มีชื่อว่า ntdll.dll ซึ่งจะนำไปสู่การสร้างความสามารถในการยิงโค้ดลงในส่วนหน่วยความจำ รวมทั้งสั่งการให้เครื่องมือแอนตี้ไวรัส ทำการตรวจหาการมีอยู่ของซอฟต์แวร์แอนตี้ไวรัสที่มีชื่อว่า 360 Total Security โดยถ้าตรวจแล้วไม่พบว่ามีซอฟต์แวร์ดังกล่าวติดอยู่บนเครื่อง ตัวมัลแวร์นกต่อก็จะทำการยิงโค้ดพิเศษลงไปบนรูปภาพนามสกุล .PNG เพื่อแปลงไฟล์ดังกล่าวให้กลายเป็นมัลแวร์ Valley RAT ในท้ายที่สุด
ทางทีมวิจัยยังได้กล่าวถึงเป้าหมายของมัลแวร์ดังกล่าวอีกว่า ตามที่ได้สืบมาข้างต้นนั้นได้พบว่าตัวมัลแวร์ได้มุ่งเน้นโจมตีกลุ่มเป้าหมายที่เป็นผู้ใช้ภาษาจีนในอาณาเขตฮ่องกง, ไต้หวัน รวมไปถึงภายในประเทศจีนเป็นหลัก แหล่งข่าวไม่ได้เปิดเผยว่าผู้ปล่อยมัลแวร์ดังกล่าวนั้นมีแผนโจมตีผู้ที่ใช้ภาษาจีน หรือกลุ่มธุรกิจในประเทศอื่น ๆ ที่ติดต่อกับประเทศดังกล่าวที่กล่าวไว้ข้างต้นหรือไม่ในขณะนี้ ซึ่งทางป้องกันตัวที่ดีที่สุดคือ ไม่ดาวน์โหลดไฟล์จากแหล่งที่ไม่น่าไว้วางใจ หรือ ถูกส่งมาโดยบุคคลต้องสงสัยอย่างเด็ดขาด
ที่มา : cybersecuritynews.com
ที่มา : THAIWARE / วันที่เผยแพร่ 27 ม.ค. 2568
Link : https://news.thaiware.com/21569.html
