พบผู้ไม่ประสงค์ดีใช้ MalwareGo-based ตัวใหม่ที่ชื่อว่า ‘Aurora’ เพื่อขโมยข้อมูลที่สำคัญจากเบราว์เซอร์, แอป Cryptocurrency และ โหลดเพย์โหลดเพิ่มเติม
SEKOIA กล่าวว่าพบกลุ่มผู้ไม่ประสงค์ดีได้นำ MalwareAurora มาใช้ร่วมกับ Redline และ Raccoon ซึ่งเป็นกลุ่ม Malware ขโมยข้อมูล โดยในช่วงปลายเดือนสิงหาคม พ.ศ. 2565 Aurora ถูกโฆษณาว่าเป็น Malware ขโมยข้อมูลที่มีฟีเจอร์ที่หลากหลายรวมถึงการหลบเลี่ยงการตรวจจับโดยมีค่าใช้จ่ายในการเช่า Malware อยู่ที่ 250 ดอลลาร์ และ 1,500 ดอลลาร์ต่อเดือน เมื่อดำเนินการ Aurora จะรัน Commands ต่าง ๆ ผ่าน WMIC เพื่อรวบรวมข้อมูลพื้นฐานของโฮสต์, ถ่ายภาพ desktop และส่งทุกอย่างไปยัง C2
นอกจากนี้ Malware ยังมุ่งเป้าไปที่ข้อมูลที่เก็บไว้ในเบราว์เซอร์หลายตัวเช่น คุกกี้, รหัสผ่าน, ประวัติบัตรเครดิต, Cryptocurrency browser, แอป Cryptocurrency wallet desktop และ Telegram ข้อมูลที่ถูกขโมยทั้งหมดถูกรวมไว้ในไฟล์ JSON ที่เข้ารหัส base64 และแยกออกเป็น C2 ผ่านพอร์ต TCP 8081 หรือ 9865 นักวิจัยพบตัวโหลด Malware ของ Aurora ที่ใช้ “net_http_Get” เพื่อวางเพย์โหลดใหม่ลงในระบบไฟล์โดยใช้ชื่อแบบสุ่มจากนั้นจึงใช้ PowerShell เพื่อดำเนินการโจมตีต่อไป
คำแนะนำ
- ติดตั้ง Endpoint และ Update Signature ก่อนทำการ Full-Scan อย่างน้อย 1 ครั้งต่อสัปดาห์
- ตรวจสอบ Process ในหน่วยความจำ ว่าทำงานผิดปกติหรือไม่ เช่น ใช้ทรัพยากรภายในเครื่องมากเกินไปหรือไม่
- อัปเดตซอฟต์แวร์หรือเทคโนโลยีการป้องกัน และ ตรวจสอบว่ามีการทำงานอย่างถูกต้องหรือไม่
ไม่มีความคิดเห็น:
แสดงความคิดเห็น