เตือน Banking Trojan ใหม่ ใช้ไบนารี่ของ VMware บายพาสระบบความมั่นคงปลอดภัย

Talos ทีมนักวิจัยด้าน Threat Intelligence ของ Cisco ออกมาแจ้งเตือนถึง Banking Trojan ตัวใหม่ ที่ใช้ไฟล์ไบนารี่อย่างถูกต้องของ VMware ในการบายพาสระบบรักษาความมั่นคงปลอดภัยและแพร่กระจาย Banking Trojan ผ่านแคมเปญ Phishing โดยมีเป้าหมายที่สถาบันการเงินในประเทศบราซิล

Credit: ShutterStock

Talos ระบุว่า โทรจันดังกล่าวใช้ไฟล์ไบนารี่อย่างถูกต้องของ VMware ในการหลอกล่อระบบรักษาความมั่นคงปลอดภัยให้เพิกเฉยต่อพฤติกรรมที่ผิดปกติ รวมไปถึงบาสพาสการตรวจสอบต่างๆ โดยอาศัยแนวคิดที่ว่า ถ้าไบนารี่เริ่มต้น เช่น vm.png ผ่านการตรวจสอบไปได้ ระบบรักษาความมั่นคงปลอดภภัยส่วนใหญ่จะถือว่าไบนารี่ที่ตามมาหลังจากนั้นเชื่อถือได้ แล้วปล่อยผ่านไปทันที

“ด้วยการใช้ DLL ที่ถูกต้องและได้รับการรับรองจาก VMware ช่วยให้มัลแวร์สามารถรันโดยไม่ถูกตรวจจับผ่านทางการใช้เทคนิคที่เรียกว่า DLL Side Loading ได้ ซึ่งเทคนิคนี้ช่วยให้ DLL ปกติโหลด DLL อันตรายเข้าสู่หน่วยความจำได้” — ทีมนักวิจัยของ Talos ระบุ นอกจากนี้ มัลแวร์ยังถูกฝังมากกับ Themida ซึ่งช่วยให้การวิเคราะห์ทำได้ยากขึ้นอีกด้วย

เมื่อโทรจันปลอมตัวเป็นโปรเซสที่ถูกต้องแล้ว มันจะใช้เทคนิคหลากหลายรูปแบบในการหลบซ่อนจากระบบตรวจจับ เพื่อเตรียมขโมยข้อมูลเกี่ยวกับธนาคารของเหยื่อ ซึ่งการทำ Obfuscation หลายชั้นและ DDL Side Loading นี้เองที่ทำให้มัลแวร์ตัวนี้อันตรายเป็นอย่างมาก

มัลแวร์นี้แพร่กระจายตัวผ่านทางแคมเปญ Phishing บนอีเมล โดยเขียนหัวข้อเกี่ยวกับใบแจ้งหนี้จาก Boleto บริการชำระเงินยอดนิยมของบราซิล ซึ่งเนื้อหาอีเมลประกอบด้วยไฟล์ลิงค์ URL สำหรับส่งเหยื่อไปยังเว็บไซต์ของแฮ็คเกอร์ เพื่อให้โหลดไฟล์ JAR ที่ถูกบีบอัดในรูปของ RAR เมื่อเหยื่อเผลอเปิดไฟล์ดังกล่าว โปรเซส Java จะเริ่มรันมัลแวร์และติดตั้ง Banking Trojan ลงบนเครื่องทันที

อย่างไรก็ตาม พบว่าแคมเปญ Phishing นี้แพร่กระจายในประเทศบราซิลเพียงอย่างเดียว ยังไม่พบรายงานการแพร่กระจายตัวไปยังภูมิภาคอื่นๆ

รายละเอียดเชิงเทคนิค: http://blog.talosintelligence.com/2017/09/brazilbanking.html

ที่มา: https://www.scmagazine.com/brazilian-trojan-uses-an-authentic-vmware-binary-to-deceive-security-tools/article/698097/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

คอมพิวเตอร์และโน๊ตบุ๊คกว่า 900 รุ่นได้รับผลกระทบจากช่องโหว่ Intel ME

หลังจากที่ Intel ออกมายอมรับอย่างเป็นทางการว่า มีช่องโหว่ร้ายแรง 8 รายการบนชิป Intel Management Engine (ME) เมื่อ 3 วันก่อน ล่าสุด ทางเจ้าของผลิตภัณฑ์คอมพิวเตอร์และเซิร์ฟเวอร์ชื่อดังทั้ง …

กระจาย Enterprise แอปพลิเคชันอย่างรวดเร็วปลอดภัยด้วย Google Play

Google ได้พัฒนา Managed Google Play ที่เป็นฟีเจอร์เดิมซึ่งทำให้ผู้ดูแลระบบสามารถซื้อขายและกำหนดลิสต์ของแอปพลิเคชันเพื่ออนุญาตใช้งานภายในกลุ่มทีมงานได้ โดยเพิ่มความสามารถให้รองรับการบริหารจัดการแอปพลิเคชันที่เขียนขึ้นเองภายในองค์กรได้