เตือน Banking Trojan ใหม่ ใช้ไบนารี่ของ VMware บายพาสระบบความมั่นคงปลอดภัย

Talos ทีมนักวิจัยด้าน Threat Intelligence ของ Cisco ออกมาแจ้งเตือนถึง Banking Trojan ตัวใหม่ ที่ใช้ไฟล์ไบนารี่อย่างถูกต้องของ VMware ในการบายพาสระบบรักษาความมั่นคงปลอดภัยและแพร่กระจาย Banking Trojan ผ่านแคมเปญ Phishing โดยมีเป้าหมายที่สถาบันการเงินในประเทศบราซิล

Credit: ShutterStock

Talos ระบุว่า โทรจันดังกล่าวใช้ไฟล์ไบนารี่อย่างถูกต้องของ VMware ในการหลอกล่อระบบรักษาความมั่นคงปลอดภัยให้เพิกเฉยต่อพฤติกรรมที่ผิดปกติ รวมไปถึงบาสพาสการตรวจสอบต่างๆ โดยอาศัยแนวคิดที่ว่า ถ้าไบนารี่เริ่มต้น เช่น vm.png ผ่านการตรวจสอบไปได้ ระบบรักษาความมั่นคงปลอดภภัยส่วนใหญ่จะถือว่าไบนารี่ที่ตามมาหลังจากนั้นเชื่อถือได้ แล้วปล่อยผ่านไปทันที

“ด้วยการใช้ DLL ที่ถูกต้องและได้รับการรับรองจาก VMware ช่วยให้มัลแวร์สามารถรันโดยไม่ถูกตรวจจับผ่านทางการใช้เทคนิคที่เรียกว่า DLL Side Loading ได้ ซึ่งเทคนิคนี้ช่วยให้ DLL ปกติโหลด DLL อันตรายเข้าสู่หน่วยความจำได้” — ทีมนักวิจัยของ Talos ระบุ นอกจากนี้ มัลแวร์ยังถูกฝังมากกับ Themida ซึ่งช่วยให้การวิเคราะห์ทำได้ยากขึ้นอีกด้วย

เมื่อโทรจันปลอมตัวเป็นโปรเซสที่ถูกต้องแล้ว มันจะใช้เทคนิคหลากหลายรูปแบบในการหลบซ่อนจากระบบตรวจจับ เพื่อเตรียมขโมยข้อมูลเกี่ยวกับธนาคารของเหยื่อ ซึ่งการทำ Obfuscation หลายชั้นและ DDL Side Loading นี้เองที่ทำให้มัลแวร์ตัวนี้อันตรายเป็นอย่างมาก

มัลแวร์นี้แพร่กระจายตัวผ่านทางแคมเปญ Phishing บนอีเมล โดยเขียนหัวข้อเกี่ยวกับใบแจ้งหนี้จาก Boleto บริการชำระเงินยอดนิยมของบราซิล ซึ่งเนื้อหาอีเมลประกอบด้วยไฟล์ลิงค์ URL สำหรับส่งเหยื่อไปยังเว็บไซต์ของแฮ็คเกอร์ เพื่อให้โหลดไฟล์ JAR ที่ถูกบีบอัดในรูปของ RAR เมื่อเหยื่อเผลอเปิดไฟล์ดังกล่าว โปรเซส Java จะเริ่มรันมัลแวร์และติดตั้ง Banking Trojan ลงบนเครื่องทันที

อย่างไรก็ตาม พบว่าแคมเปญ Phishing นี้แพร่กระจายในประเทศบราซิลเพียงอย่างเดียว ยังไม่พบรายงานการแพร่กระจายตัวไปยังภูมิภาคอื่นๆ

รายละเอียดเชิงเทคนิค: http://blog.talosintelligence.com/2017/09/brazilbanking.html

ที่มา: https://www.scmagazine.com/brazilian-trojan-uses-an-authentic-vmware-binary-to-deceive-security-tools/article/698097/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พบมัลแวร์ตัวใหม่ ‘VPNFilter’ มุ่งโจมตี Router มีเหยื่อแล้วกว่า 5 แสนราย

นักวิจัยด้านความมั่นคงปลอดภัยจาก Cisco ได้พบกลุ่มเราเตอร์กว่า 5 แสนอุปกรณ์ที่ตกเป็นเหยื่อของมัลแวร์ตัวใหม่ชื่อว่า ‘VPNFilter’ โดยมัลแวร์ตัวนี้มีความซับซ้อนในการปฏิบัติการสูง สามารถทำรอดจากการบูตระบบ ค้นหาส่วนประกอบของ SCADA หรือทำลายฟังก์ชันของ Firmware จนอุปกรณ์ไม่สามารถใช้งานได้ นอกจากนี้มัลแวร์สามารถปฏิบัติการได้ในเราเตอร์หลายยี่ห้อรวมถึงอุปกรณ์ NAS …

True IDC ผ่านมาตรฐาน PCI-DSS เพิ่มความแกร่งบริการ Data Center ต่อยอดรองรับธุรกิจด้านการเงินเต็มรูปแบบ

True IDC ผู้นำธุรกิจ Data Center และ Cloud Computing แบบครบวงจรในประเทศไทย ผ่านการตรวจประเมินมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศที่เกี่ยวข้องกับการชำระเงินผ่านบัตรอย่าง PCI-DSS 3.2 พร้อมให้บริการ Infrastructure แก่สถาบันการเงิน ธุรกิจประกันภัย …