VMware และ Microsoft เตือนถึงมัลแวร์ Chromeloader ที่ถูกใช้งานในการโจมตี
VMware และ Microsoft ออกมาแจ้งเตือนถึงการโจมตีด้วย Malware Chromeloader เป็น extension ของ Chrome browser ที่เป็นอันตราย ซึ่งจัดอยู่ในประเภท pervasive browser hijacker ที่จะปรับเปลี่ยนการตั้งค่าของเบราว์เซอร์เพื่อเปลี่ยนเส้นทางการรับส่งข้อมูลของผู้ใช้ และดักจับคำค้นหาของผู้ใช้ใน search engines ยอดนิยม ไม่ว่าจะเป็น Google, Yahoo และ Bing โดยโค้ดที่เป็นอันตรายนั้นยังสามารถใช้ PowerShell เพื่อแทรกตัวเองลงในเบราว์เซอร์ และเพิ่ม extension ลงในเบราว์เซอร์ได้
นักวิจัยจาก Red Canary สังเกตเห็นโฆษณาที่ใช้เป็นช่องทางในการส่งMalware ChromeLoader ที่จะทำการดักจับเบราว์เซอร์ของเหยื่อ โดยในสัปดาห์นี้ VMware และ Microsoft ได้ออกมาเตือนซึ่งจะติดตั้ง node-WebKit และ RansomwareMicrosoft มองว่าการโจมตีนี้มาจากผู้ไม่ประสงค์ดีใช้ชื่อชื่อว่า DEV-0796 พยายามสร้างรายได้จากการคลิกที่สร้างโดย browser node-webkit หรือ extension บนเบราว์เซอร์ที่เป็นอันตราย ซึ่งจะแอบติดตั้งไว้บนอุปกรณ์ของเหยื่อ
นักวิจัยจาก Red Canary สังเกตเห็นโฆษณาที่ใช้เป็นช่องทางในการส่งMalware ChromeLoader ที่จะทำการดักจับเบราว์เซอร์ของเหยื่อ โดยในสัปดาห์นี้ VMware และ Microsoft ได้ออกมาเตือนซึ่งจะติดตั้ง node-WebKit และ RansomwareMicrosoft มองว่าการโจมตีนี้มาจากผู้ไม่ประสงค์ดีใช้ชื่อชื่อว่า DEV-0796 พยายามสร้างรายได้จากการคลิกที่สร้างโดย browser node-webkit หรือ extension บนเบราว์เซอร์ที่เป็นอันตราย ซึ่งจะแอบติดตั้งไว้บนอุปกรณ์ของเหยื่อ
การโจมตีนี้จะเริ่มต้นการโจมตีด้วยไฟล์ ISO ที่จะถูกดาวน์โหลดเมื่อผู้ใช้คลิกโฆษณาที่เป็นอันตรายหรือ YouTube comments เมื่อทำการเปิดไฟล์ ISO เบราว์เซอร์ node-webkit (NW.js) หรือ extension ของเบราว์เซอร์จะถูกติดตั้ง
ซึ่งผู้เชี่ยวชาญยังสังเกตเห็นว่าผู้โจมตีใช้ไฟล์ DMG เพื่อกำหนดเป้าหมายบนระบบ macOS อีกด้วย
VMware ได้เผยแพร่รายงานที่ให้รายละเอียดทางเทคนิคเกี่ยวกับ Chromeloader หลายตัวที่สังเกตเห็นตั้งแต่เดือนสิงหาคม และล่าสุดเมื่อปลายเดือนสิงหาคม ChromeLoader ถูกใช้เพื่อติดตั้ง ZipBombs ลงบนระบบที่ถูกโจมตี
Malware นี้ถูกใช้เพื่อทำลายระบบด้วยการโหลดข้อมูลที่มากจนเกินไป ผู้เชี่ยวชาญยังสังเกตเห็นการใช้ ChromeLoader ดาวน์โหลด Enigma Ransomware ซึ่งส่งออกเป็นไฟล์แนบ HTML ที่พบในไฟล์ ISO โดยเมื่อเปิดไฟล์แนบ ก็จะมีการเปิดเบราว์เซอร์ และเรียกใช้จาวาสคริปต์ที่ฝังอยู่
เทคนิคการโจมตีอื่น ๆ ที่โดดเด่น คือ OpenSubtitles ในเวอร์ชันปลอม ซึ่งเป็นโปรแกรมที่ช่วยให้ผู้ใช้ค้นหาคำบรรยายสำหรับภาพยนตร์ และรายการทีวีที่เป็นที่นิยม และ Flbmusic.exe เวอร์ชันปลอม ซึ่งเป็นโปรแกรมที่ใช้สำหรับการเล่นเพลงข้ามแพลตฟอร์ม Adware เป็นหนึ่งในการโจมตีที่พบบ่อยที่สุด โดยในการโจมตีนี้ได้ถูกพัฒนาไปอย่างมากในช่วงไม่กี่เดือนที่ผ่านมาโดยใช้ประโยชน์จาก powershell.exe และมีแนวโน้มที่จะนำไปสู่การโจมตีที่ซับซ้อนมากขึ้น
ไม่มีความคิดเห็น:
แสดงความคิดเห็น