แสดงบทความที่มีป้ายกำกับ Stealthy Malware แสดงบทความทั้งหมด
แสดงบทความที่มีป้ายกำกับ Stealthy Malware แสดงบทความทั้งหมด

02/06/2566

พบ Malware Vidar Stealer, Laplas Clipper และ XMRig Miner บน YouTube Platform


เมื่อต้นเดือนที่ผ่านมา FortiGuard Labs พบการโจมตีที่ถูกใช้งานอยู่ซึ่งเป็นช่องทางก่อให้เกิดอันตรายต่อเป้าหมาย YouTube เนื่องจากพบช่อง YouTube ที่ได้รับการยืนยันว่ามีฐานสมาชิกจำนวนมาก ได้ใช้ประโยชน์จากช่องทางนี้เพื่ออัปโหลดวิดีโอที่ส่งเสริมการดาวน์โหลดSoftwareละเมิดลิขสิทธิ์ต่าง ๆ โดยผู้ที่ตกเป็นเหยื่อโดยไม่เจตนาจะถูกสร้าง ให้ติดตั้ง Malware หลายสายพันธุ์ซึ่งส่งผลให้เกิดการติดMalwareบนเครื่องของเหยื่อ รวมถึงการเก็บข้อมูล Credential , การทำ Cryptojacking และการขโมย Cryptocurrency
ผู้ไม่ประสงค์ดีอัปโหลดวิดีโอที่เป็นอันตราย มากกว่า 50 รายการภายในเวลา 8 ชั่วโมง โดยแต่ละรายการเป็นการชักชวนให้ใช้ Software ละเมิดลิขสิทธิ์หลายรายการ ซึ่งท้ายที่สุดแล้วจะนำเป้าหมายไปยัง URL เดียวกันดังรายละเอียดที่แสดงด้านล่างนี้

ผู้ไม่ประสงค์ดีจะใช้ URL และรหัสผ่าน ซึ่งโดยทั่วไปประกอบด้วยตัวเลข 4 หลัก จะวางไว้ในส่วนคำอธิบายและความคิดเห็นของวิดีโอเพื่อความสะดวก
เหยื่อจะถูกเปลี่ยนเส้นทางไปยังไฟล์ Archive ที่ป้องกันด้วยรหัสผ่าน เช่น “2O23-F1LES-S0ft.rar” ซึ่งโฮสต์บนแพลตฟอร์มบริการแชร์ไฟล์
ผู้ไม่ประสงค์ดีจะใช้ ไฟล์ RAR ที่ร้องขอผู้ที่อาจตกเป็นเหยื่อให้แยกข้อมูลโดยใช้รหัสผ่านที่ให้มาและเรียกใช้ไฟล์ .exe

Malware ที่เป็นอันตรายที่เกี่ยวข้องกับการโจมตีสรุปได้ดังนี้:
Launcher_S0FT-2O23.exe: นี่คือตัวขโมยข้อมูลของ Vidar ซึ่งใช้เทคนิคในรวมตัวเข้าไปกับไฟล์ที่ไม่มีขนาดมากกว่า 1GB วิธีนี้มีจุดประสงค์เพื่อหลีกเลี่ยงโปรแกรมป้องกันไวรัสและแซนด์บ็อกซ์ที่มีข้อจำกัดในการสแกนไฟล์ขนาดใหญ่เนื่องจากทรัพยากร CPU และ RAM ที่จำกัด

รูปแบบการโจมตีของ Vidar Stealer

  • Laplas Clipper: ตรวจสอบคลิปบอร์ดของ Windows อย่างต่อเนื่องเพื่อหาเนื้อหาที่ตรงกับรูปแบบเฉพาะที่เรียกค้นจากเซิร์ฟเวอร์ C2 Laplas Clipper แทนที่ที่อยู่กระเป๋าเงินเดิมของผู้รับเงินด้วยที่อยู่ของผู้กระทำการคุกคาม เพื่อโอนเงินไปยังการควบคุมของผู้โจมตี
  • Task32Main: นี่คือตัวติดตั้ง Monero Miner และสามารถคงความคงอยู่และหลีกเลี่ยงโปรแกรมป้องกันไวรัส

    รูปแบบการโจมตีนี้นำเสนอให้เห็นถึงอันตรายของการดาวน์โหลดสำเนาSoftwareละเมิดลิขสิทธิ์ เนื่องจากเป็นช่องทางสำหรับผู้ไม่ประสงค์ดีที่ใช้รวบรวมข้อมูลประจำตัว ข้อมูลที่สำคัญ และสกุลเงินดิจิตอล ยิ่งไปกว่านั้น เมื่อระบบถูกโจมตี ผู้ไม่ประสงค์ดีจะใช้มันเพื่อเข้ารหัสลับ ขอเตือนเป้าหมายว่าอย่าหลงเชื่อข้อเสนอSoftwareแคร็กบน YouTube หรือที่ใดก็ตาม

Ref : cyware
ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

07/12/2565

DuckLogs New Malware


    Malware–as-a-service(MaaS) ตัวใหม่ ที่ใช้ชื่อว่า ‘DuckLogs’ เป็นเครื่องมือที่ช่วยให้ผู้ไม่ประสงค์ดีที่ยังขาดความชำนาญ สามารถเข้าถึงหลาย Modules ได้โดยง่าย เพื่อขโมยข้อมูล, ข้อมูลบันทึกการกดแป้นพิมพ์, ข้อมูลการเข้าถึง Clipboard และช่องทางการ Remote ไปยังเครื่องของเป้าหมาย 
    DuckLogs เป็นการทำงานบนเว็ปทั้งหมด โดยอ้างว่ามี เหล่าผู้ไม่ประสงค์ดีหลายพันคน ที่เข้ามาจ่ายค่าสมัครสมาชิก เพื่อสร้าง และใช้งานมากกว่า 4,000 แบบ


    โดยผู้ดูแลระบบจะให้บริการเพิ่มเติมกับลูกค้าบางรายที่ทำการร้องขอ เพื่อช่วยเพิ่มการกระจายของ Malware บนหน้าเว็ปแสดงให้เห็นว่า มีผู้ไม่ประสงค์ดีกว่า 2,000 คน กำลังใช้งานแพลตฟอร์มที่เป็นอันตรายนี้อยู่ และจำนวนเป้าหมายปัจจุบันนับได้มากกว่า 6,000 รายแล้ว ผู้เชี่ยวชาญด้าน Malware ของ Cyble ตรวจจับ DuckLogs malware ได้ และได้วิเคราะห์ทันทีที่ตรวจพบ
คุณสมบัติของ DuckLogs ประกอบด้วย
ตัวขโมยข้อมูล Information stealer Remote access torjan(RAT) แต่จะมีมากกว่า 100 Modules ที่จะเป็น Modules เฉพาะ สำหรับ Application ที่เป็นเป้าหมายพิเศษ 
นี้คือบางรายการของ ข้อมูล และApplications ที่เป็นเป้าหมายของการขโมย ดังนี้
  • ข้อมูล Hardware และ Software
  • ไฟล์ที่เก็บไว้ในเครื่อง
  • ข้อมูลบัญชี และข้อมูล Cookies บน Web Browsers
  • Email Outlook และ Thunderbird
  • ข้อมูลการส่งข้อความบน Discord, Telegram, Signal, Skype
  • ข้อมูลบัญชีของ NordVPN, ProtonVPN, OpenVPN และ CrypticVPN
  • ข้อมูล FileZilla และ TotalCommander
  • ข้อมูลบัญชี Steam, Minecraft, Battle.net และ Uplay
  • ข้อมูล Crytocurrency wallets : Metamask, Exodus, Coinomi, Atomic และ Electrum
   องค์ประกอบของ RAT มีฟังก์ชั่นให้ดึงข้อมูลไฟล์จาก Command and control(C2)server และสามารถเรียกใช้ได้, ทำให้หน้าจอแสดงความขัดข้อง Shutdown, Restart, Logout หรือ Lock เครื่อง, เปิด URLs บน Browser  Module อื่น ๆ ของ DuckLogs สามารถที่จะบันทึกการกดแป้นพิมพ์ เพื่อขโมยข้อมูลที่ละเอียดอ่อนได้ (โดยทั่วไปจะใช้เพื่อขโมยข้อมูล Cryptocurrency) และสามารถถ่ายภาพหน้าจอได้ 
    ผู้เชี่ยวชาญของ Cyble กล่าวว่า Malware ยังรองรับกับ การแจ้งเตือนบน Telegram, encrypted logs และการติดต่อสื่อสาร, Code obfuscation Process hollowing เพื่อเรียกใช้คำสั่งที่ต้องการบน Memory, Persistence mechanism, การทำ Bypass สำหรับ Window User Account Control


    ปัจจุบันมีเปิดบน Clearnet ได้ 4 domain และสามารถสร้างคำสั่ง สำหรับ Modules และฟังก์ชัน ที่จะใส่ให้กับ Malware ในขั้นต่อนสุดท้าย  นอกจากนี้ ที่ตัวสร้างยังมีตัวเลือกให้ ป้องกันหลีกเลี่ยง เช่น การเพิ่มข้อยกเว้นให้กับ Windows Defender หน่วงเวลาการเรียกใช้งาน หรือปิดการใช้งาน Task Manager


    Cyble กล่าวว่า ภัยคุกคามเริ่มมีแนวโน้มที่จะเกิดขึ้นทาง Email (Spam, phishing) แนะนำให้ผู้ใช้คอยตรวจสอบข้อความที่น่าสงสัย และไม่เปิดลิงก์จากแหล่งที่ไม่น่าเชื่อถือ นอกจากนี้ ข้อมูลละเอียดอ่อนที่คัดลอกไปยัง Clipboard ควรที่จะตรวจสอบหลังจากใช้งาน เพื่อให้แน่ใจว่าแฮกเกอร์ไม่ได้เปลี่ยนแปลงรายละเอียด เช่น ปลางทางของการทำธุรกรรม ข้อควรระวังที่มีประโชยน์ คือการการหลีกเลี่ยงการดาวน์โหลดจาก Torrents หรือ Shady website, และ Software Security ที่อัพเดทอยู่เสมอ

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

09/09/2565

New Stealthy Shikitega Malware Targeting Linux Systems and IoT Devices

 

Stealthy Shikitega มัลแวร์ตัวใหม่มุ่งเป้าไปที่ระบบปฏิบัติการ Linux และอุปกรณ์ IoT

    Shikitega เป็นมัลแวร์บน Linux ตัวใหม่ ที่ถูกพบว่าใช้วิธีการโจมตีหลายขั้นตอนเพื่อเข้าควบคุมเครื่อง และอุปกรณ์ IoTAT&T Alien Labs ระบุในรายงานถึงผู้โจมตีที่สามารถเข้าควบคุมระบบได้อย่างสมบูรณ์ นอกจากนั้นยังมีการติดตั้งมัลแวร์สำหรับขุดเหรียญ cryptocurrency รวมไปถึงวิธีการอื่น ๆ ที่ทำให้สามารถแฝงตัวอยู่บนระบบได้
    ปัจจุบันเริ่มมีการพบ Linux malware มากขึ้นเรื่อย ๆ ในช่วงไม่กี่เดือนที่ผ่านมา เช่น BPFDoor, Symbiote, Syslogk, OrBit และ Lightning Frameworkเมื่อสามารถติดตั้งลงบนเครื่องเหยื่อที่เป็นเป้าหมาย ตัวมัลแวร์จะเริ่มทำการดาวน์โหลด และเรียกใช้งานเครื่องมือที่ชื่อว่า "Mettle" ของ Metasploit เพื่อเข้าควบคุมระบบ และใช้ประโยชน์จากช่องโหว่อื่น ๆ เพื่อทำการยกระดับสิทธิ์ เพิ่ม crontab เพื่อทำให้ตัวมันสามารถแฝงตัวทำงานอยู่บนเครื่องเหยื่อได้ และแอบติดตั้ง มัลแวร์สำหรับขุดเหรียญ cryptocurrency บนเครื่องเหยื่ออีกด้วยวิธีการที่ผู้โจมตีใช้ในการโจมตีเป็นขั้นตอนแรกนั้นยังไม่ทราบแน่ชัด แต่สิ่งที่ทำให้ Shikitega สามารถหลบเลี่ยงการตจรวจจับได้คือ ความสามารถในการดาวน์โหลดเพย์โหลดจากเซิร์ฟเวอร์ command-and-control (C2) และสั่งรันโดยตรงในหน่วยความจำ

    ส่วนการยกระดับสิทธิ์มักจะทำได้โดยใช้ประโยชน์จากช่องโหว่ CVE-2021-4034 (aka PwnKit) และ CVE-2021-3493 เพื่อทำให้ผู้โจมตีได้สิทธิ์ root ในการรัน shell scripts เพื่อแฝงตัวอยู่บนระบบต่อ และติดตั้ง Monero crypto miner ในการหลีกเลี่ยงการตรวจจับ ผู้โจมตีจะใช้ "Shikata ga nai" ซึ่งเป็นตัวเข้ารหัสแบบ polymorphic ซึ่งทำให้ยากต่อการตรวจจับโดย antivirus engines ส่วน command-and-control (C2) ก็จะใช้บริการคลาวด์ที่ได้รับความนิยมโดยทั่วไป
    มัลแวร์ Shiketega มีรูปแบบที่ค่อนข้างซับซ้อน นอกจากการใช้ตัวเข้ารหัสแบบ polymorphic และค่อย ๆ ส่งเพย์โหลดแล้ว ในแต่ละขั้นตอนก็จะเผยให้เห็นข้อมูลของเพย์โหลดเพียงแค่บางส่วนเท่านั้น

New Stealthy Shikitega Malware Targeting Linux Systems and IoT Devices

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,
สมัครสมาชิก: บทความ (Atom)