นักวิจัยด้านความปลอดภัยพบ Malware ขโมยข้อมูลตัวใหม่ที่ชื่อว่า "SYS01stealer" ซึ่งมีเป้าหมายไปยังพนักงานขององค์กรด้านโครงสร้างพื้นฐานที่สำคัญของรัฐบาล, บริษัทในภาคการผลิต และบริษัทในภาคส่วนอื่น ๆ
Morphisec รายงานว่า ผู้ไม่ประสงค์ดีที่อยู่เบื้องหลังการโจมตีนี้จะมุ่งเป้าไปที่ Business accounts บน Facebook โดยการใช้ Google ads และโปรไฟล์ Facebook ปลอม ที่โปรโมตสิ่งต่าง ๆ เช่น เกมส์, เนื้อหาสำหรับผู้ใหญ่, และซอร์ฟแวร์ละเมิดลิขสิทธิ์ เพื่อหลอกล่อเหยื่อให้ดาวน์โหลดไฟล์ที่เป็นอันตราย
การโจมตีนี้ถูกออกแบบมาเพื่อขโมยข้อมูลที่สำคัญ เช่น ข้อมูลการเข้าสู่ระบบ, คุกกี้, ข้อมูลของ Facebook ad และข้อมูลบัญชีธุรกิจโดย Morphisec ระบุว่า การโจมตีนี้เริ่มต้นจากการดำเนินการของกลุ่มผู้ไม่ประสงค์ดีที่มีแรงจูงใจทางด้านการเงินที่ชื่อว่า Ducktail
WithSecure เคยรายงานปฏิบัติการของกลุ่ม Ducktail เป็นครั้งแรกในเดือนกรกฎาคม พ.ศ. 2565 ได้ระบุว่า ข้อมูลที่ได้จากการวิเคราะห์การโจมตีทั้ง 2 ครั้งของ Ducktail มีความแตกต่างกัน แสดงให้เห็นว่าผู้ไม่ประสงค์ดีพยายามสร้างความสับสนให้กับนักวิจัยในความพยายามสำหรับการระบุแหล่งที่มา รวมไปถึงความพยายามในการหลบเลี่ยงการตรวจจับ
Morphisec ระบุว่า การโจมตีเริ่มต้นด้วยการหลอกล่อให้เหยื่อคลิก URL จากโปรไฟล์ หรือโฆษณาบน Facebook เพื่อดาวน์โหลดไฟล์ ZIP ที่อ้างว่าเป็นซอฟต์แวร์ละเมิดลิขสิทธิ์ หรือเนื้อหาสำหรับผู้ใหญ่ การเปิดไฟล์ ZIP จะมีการเรียกใช้งานแอปที่ดูถูกต้องตามปกติ แต่จะใช้วิธีการ DLL side-loading ทำให้สามารถโหลดไฟล์ DLL ที่เป็นอันตรายควบคู่ไปกับแอปปกติได้
แอปพลิเคชันบางตัวที่ถูกนำมาใช้เพื่อดาวน์โหลด DLL ที่เป็นอันตรายคือ WDSyncService.exe ของ Western Digital และ ElevatedInstaller.exe ของ Garmin โดยสุดท้ายเป้าหมายของผู้ไม่ประสงค์ดีคือการติดตั้ง Malware SYS01stealer
โดย SYS01stealer ถูกออกแบบมาเพื่อเก็บข้อมูลคุกกี้ของ Facebook จาก Chromium-based web browser (เช่น Google Chrome, Microsoft Edge, Brave, Opera และ Vivaldi) โดยมันจะทำการส่งข้อมูล Facebook ของเหยื่อที่เก็บรวบรวมมาได้ไปยัง C2 Server รวมถึงสามารถดาวน์โหลด หรือทำการรันไฟล์ต่าง ๆ ตามที่ผู้ไม่ประสงค์ดีต้องการได้ และยังสามารถอัปเดตตัวเองเมื่อมีเวอร์ชันใหม่ที่พร้อมใช้งาน
เหตุการณ์นี้เกิดขึ้นในเวลาใกล้เคียงกับที่ Bitdefender เปิดเผยการโจมตีของ Malware stealer ที่คล้ายกัน ที่รู้จักกันในชื่อ S1deload ซึ่งออกแบบมาเพื่อโจมตีบัญชี Facebook และ YouTube ของผู้ใช้งาน และใช้ประโยชน์จากระบบที่ถูกโจมตีมาทำการขุดเหรียญ cryptocurrency
Morphisec ระบุว่า DLL side-loading เป็นเทคนิคการโจมตีที่มีประสิทธิภาพสูง เนื่องจากเมื่อแอปพลิเคชันถูกโหลดลงในหน่วยความจำบน Windows System และไม่มีการตรวจสอบลำดับในการค้นหาไฟล์ DLL ในการทำงาน แอปพลิเคชันอาจจะโหลดไฟล์ DLL ที่เป็นอันตราย แทนที่จะเป็นไฟล์ DLL ที่ถูกต้อง
ไม่มีความคิดเห็น:
แสดงความคิดเห็น