เตือน Banking Trojan ใหม่ ใช้ไบนารี่ของ VMware บายพาสระบบความมั่นคงปลอดภัย

Talos ทีมนักวิจัยด้าน Threat Intelligence ของ Cisco ออกมาแจ้งเตือนถึง Banking Trojan ตัวใหม่ ที่ใช้ไฟล์ไบนารี่อย่างถูกต้องของ VMware ในการบายพาสระบบรักษาความมั่นคงปลอดภัยและแพร่กระจาย Banking Trojan ผ่านแคมเปญ Phishing โดยมีเป้าหมายที่สถาบันการเงินในประเทศบราซิล

Credit: ShutterStock

Talos ระบุว่า โทรจันดังกล่าวใช้ไฟล์ไบนารี่อย่างถูกต้องของ VMware ในการหลอกล่อระบบรักษาความมั่นคงปลอดภัยให้เพิกเฉยต่อพฤติกรรมที่ผิดปกติ รวมไปถึงบาสพาสการตรวจสอบต่างๆ โดยอาศัยแนวคิดที่ว่า ถ้าไบนารี่เริ่มต้น เช่น vm.png ผ่านการตรวจสอบไปได้ ระบบรักษาความมั่นคงปลอดภภัยส่วนใหญ่จะถือว่าไบนารี่ที่ตามมาหลังจากนั้นเชื่อถือได้ แล้วปล่อยผ่านไปทันที

“ด้วยการใช้ DLL ที่ถูกต้องและได้รับการรับรองจาก VMware ช่วยให้มัลแวร์สามารถรันโดยไม่ถูกตรวจจับผ่านทางการใช้เทคนิคที่เรียกว่า DLL Side Loading ได้ ซึ่งเทคนิคนี้ช่วยให้ DLL ปกติโหลด DLL อันตรายเข้าสู่หน่วยความจำได้” — ทีมนักวิจัยของ Talos ระบุ นอกจากนี้ มัลแวร์ยังถูกฝังมากกับ Themida ซึ่งช่วยให้การวิเคราะห์ทำได้ยากขึ้นอีกด้วย

เมื่อโทรจันปลอมตัวเป็นโปรเซสที่ถูกต้องแล้ว มันจะใช้เทคนิคหลากหลายรูปแบบในการหลบซ่อนจากระบบตรวจจับ เพื่อเตรียมขโมยข้อมูลเกี่ยวกับธนาคารของเหยื่อ ซึ่งการทำ Obfuscation หลายชั้นและ DDL Side Loading นี้เองที่ทำให้มัลแวร์ตัวนี้อันตรายเป็นอย่างมาก

มัลแวร์นี้แพร่กระจายตัวผ่านทางแคมเปญ Phishing บนอีเมล โดยเขียนหัวข้อเกี่ยวกับใบแจ้งหนี้จาก Boleto บริการชำระเงินยอดนิยมของบราซิล ซึ่งเนื้อหาอีเมลประกอบด้วยไฟล์ลิงค์ URL สำหรับส่งเหยื่อไปยังเว็บไซต์ของแฮ็คเกอร์ เพื่อให้โหลดไฟล์ JAR ที่ถูกบีบอัดในรูปของ RAR เมื่อเหยื่อเผลอเปิดไฟล์ดังกล่าว โปรเซส Java จะเริ่มรันมัลแวร์และติดตั้ง Banking Trojan ลงบนเครื่องทันที

อย่างไรก็ตาม พบว่าแคมเปญ Phishing นี้แพร่กระจายในประเทศบราซิลเพียงอย่างเดียว ยังไม่พบรายงานการแพร่กระจายตัวไปยังภูมิภาคอื่นๆ

รายละเอียดเชิงเทคนิค: http://blog.talosintelligence.com/2017/09/brazilbanking.html

ที่มา: https://www.scmagazine.com/brazilian-trojan-uses-an-authentic-vmware-binary-to-deceive-security-tools/article/698097/




About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ESET เปิดตัวผลิตภัณฑ์ใหม่ตอบโจทย์ลูกค้าระดับองค์กร

เมื่อวานนี้ทาง ESET ได้แถลงเปิดตัวโซลูชันใหม่ระดับองค์กรประกอบด้วย Endpoint Detection and Respond (EDR), Forensic Investigation, Threat Monitoring, Sandbox และเครื่องมือบริหารจัดการ

เตือน! พบ Add-on บน Firefox ถูกโหลดแล้วกว่า 2 แสนครั้งแอบเก็บข้อมูลการใช้งาน

ผู้เขียนแอปพลิเคชัน uBlock Origin ad blocker และ Mike Kuketz บล็อกเกอร์ชาวเยอรมันได้ร่วมกันตรวจสอบ add-on ต้องสงสัยที่ชื่อ Web Security ซึ่งถูกดาวน์โหลดไปแล้วกว่า 220,000 …