เตือน Banking Trojan ใหม่ ใช้ไบนารี่ของ VMware บายพาสระบบความมั่นคงปลอดภัย

Talos ทีมนักวิจัยด้าน Threat Intelligence ของ Cisco ออกมาแจ้งเตือนถึง Banking Trojan ตัวใหม่ ที่ใช้ไฟล์ไบนารี่อย่างถูกต้องของ VMware ในการบายพาสระบบรักษาความมั่นคงปลอดภัยและแพร่กระจาย Banking Trojan ผ่านแคมเปญ Phishing โดยมีเป้าหมายที่สถาบันการเงินในประเทศบราซิล

Credit: ShutterStock

Talos ระบุว่า โทรจันดังกล่าวใช้ไฟล์ไบนารี่อย่างถูกต้องของ VMware ในการหลอกล่อระบบรักษาความมั่นคงปลอดภัยให้เพิกเฉยต่อพฤติกรรมที่ผิดปกติ รวมไปถึงบาสพาสการตรวจสอบต่างๆ โดยอาศัยแนวคิดที่ว่า ถ้าไบนารี่เริ่มต้น เช่น vm.png ผ่านการตรวจสอบไปได้ ระบบรักษาความมั่นคงปลอดภภัยส่วนใหญ่จะถือว่าไบนารี่ที่ตามมาหลังจากนั้นเชื่อถือได้ แล้วปล่อยผ่านไปทันที

“ด้วยการใช้ DLL ที่ถูกต้องและได้รับการรับรองจาก VMware ช่วยให้มัลแวร์สามารถรันโดยไม่ถูกตรวจจับผ่านทางการใช้เทคนิคที่เรียกว่า DLL Side Loading ได้ ซึ่งเทคนิคนี้ช่วยให้ DLL ปกติโหลด DLL อันตรายเข้าสู่หน่วยความจำได้” — ทีมนักวิจัยของ Talos ระบุ นอกจากนี้ มัลแวร์ยังถูกฝังมากกับ Themida ซึ่งช่วยให้การวิเคราะห์ทำได้ยากขึ้นอีกด้วย

เมื่อโทรจันปลอมตัวเป็นโปรเซสที่ถูกต้องแล้ว มันจะใช้เทคนิคหลากหลายรูปแบบในการหลบซ่อนจากระบบตรวจจับ เพื่อเตรียมขโมยข้อมูลเกี่ยวกับธนาคารของเหยื่อ ซึ่งการทำ Obfuscation หลายชั้นและ DDL Side Loading นี้เองที่ทำให้มัลแวร์ตัวนี้อันตรายเป็นอย่างมาก

มัลแวร์นี้แพร่กระจายตัวผ่านทางแคมเปญ Phishing บนอีเมล โดยเขียนหัวข้อเกี่ยวกับใบแจ้งหนี้จาก Boleto บริการชำระเงินยอดนิยมของบราซิล ซึ่งเนื้อหาอีเมลประกอบด้วยไฟล์ลิงค์ URL สำหรับส่งเหยื่อไปยังเว็บไซต์ของแฮ็คเกอร์ เพื่อให้โหลดไฟล์ JAR ที่ถูกบีบอัดในรูปของ RAR เมื่อเหยื่อเผลอเปิดไฟล์ดังกล่าว โปรเซส Java จะเริ่มรันมัลแวร์และติดตั้ง Banking Trojan ลงบนเครื่องทันที

อย่างไรก็ตาม พบว่าแคมเปญ Phishing นี้แพร่กระจายในประเทศบราซิลเพียงอย่างเดียว ยังไม่พบรายงานการแพร่กระจายตัวไปยังภูมิภาคอื่นๆ

รายละเอียดเชิงเทคนิค: http://blog.talosintelligence.com/2017/09/brazilbanking.html

ที่มา: https://www.scmagazine.com/brazilian-trojan-uses-an-authentic-vmware-binary-to-deceive-security-tools/article/698097/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

SD-WAN กำลังส่งผลกระทบต่อกลยุทธ์ WAN ขององค์กรทั่วโลกอย่างไร

ตั้งแต่ที่ตลาด SD-WAN เกิดขึ้นในช่วงระยะการปรับใช้ตอนต้นและเข้าสู่ระยะเติบโตในปี 2017 การปรับใช้ SD-WAN ก็ได้รับความนิยมทั่วโลกจากข้อมูลการสำรวจตลาดผู้ใช้ปลายทางทั่วโลกของ Frost & Sullivan ที่สนับสนุนโดยซิลเวอร์ พีค  

Red Hat แจกฟรี E-Book แนะนำพื้นฐานเทคโนโลยี Service Mesh ด้วย Istio

Red Hat ได้ออกมาประกาศแจก E-Book ฟรีที่เล่าถึงพื้นฐานของแนวคิดด้าน Service Mesh ด้วยการใช้ Istio เพื่อให้เหล่านักพัฒนา Software, DevOps และเหล่าผู้ดูแลระบบได้นำไปศึกษา เตรียมก้าวเข้าสู่โลกของ Cloud-Native Application อย่างเต็มตัวกันในปี 2019