Breaking News

เตือน Banking Trojan ใหม่ ใช้ไบนารี่ของ VMware บายพาสระบบความมั่นคงปลอดภัย

Talos ทีมนักวิจัยด้าน Threat Intelligence ของ Cisco ออกมาแจ้งเตือนถึง Banking Trojan ตัวใหม่ ที่ใช้ไฟล์ไบนารี่อย่างถูกต้องของ VMware ในการบายพาสระบบรักษาความมั่นคงปลอดภัยและแพร่กระจาย Banking Trojan ผ่านแคมเปญ Phishing โดยมีเป้าหมายที่สถาบันการเงินในประเทศบราซิล

Credit: ShutterStock

Talos ระบุว่า โทรจันดังกล่าวใช้ไฟล์ไบนารี่อย่างถูกต้องของ VMware ในการหลอกล่อระบบรักษาความมั่นคงปลอดภัยให้เพิกเฉยต่อพฤติกรรมที่ผิดปกติ รวมไปถึงบาสพาสการตรวจสอบต่างๆ โดยอาศัยแนวคิดที่ว่า ถ้าไบนารี่เริ่มต้น เช่น vm.png ผ่านการตรวจสอบไปได้ ระบบรักษาความมั่นคงปลอดภภัยส่วนใหญ่จะถือว่าไบนารี่ที่ตามมาหลังจากนั้นเชื่อถือได้ แล้วปล่อยผ่านไปทันที

“ด้วยการใช้ DLL ที่ถูกต้องและได้รับการรับรองจาก VMware ช่วยให้มัลแวร์สามารถรันโดยไม่ถูกตรวจจับผ่านทางการใช้เทคนิคที่เรียกว่า DLL Side Loading ได้ ซึ่งเทคนิคนี้ช่วยให้ DLL ปกติโหลด DLL อันตรายเข้าสู่หน่วยความจำได้” — ทีมนักวิจัยของ Talos ระบุ นอกจากนี้ มัลแวร์ยังถูกฝังมากกับ Themida ซึ่งช่วยให้การวิเคราะห์ทำได้ยากขึ้นอีกด้วย

เมื่อโทรจันปลอมตัวเป็นโปรเซสที่ถูกต้องแล้ว มันจะใช้เทคนิคหลากหลายรูปแบบในการหลบซ่อนจากระบบตรวจจับ เพื่อเตรียมขโมยข้อมูลเกี่ยวกับธนาคารของเหยื่อ ซึ่งการทำ Obfuscation หลายชั้นและ DDL Side Loading นี้เองที่ทำให้มัลแวร์ตัวนี้อันตรายเป็นอย่างมาก

มัลแวร์นี้แพร่กระจายตัวผ่านทางแคมเปญ Phishing บนอีเมล โดยเขียนหัวข้อเกี่ยวกับใบแจ้งหนี้จาก Boleto บริการชำระเงินยอดนิยมของบราซิล ซึ่งเนื้อหาอีเมลประกอบด้วยไฟล์ลิงค์ URL สำหรับส่งเหยื่อไปยังเว็บไซต์ของแฮ็คเกอร์ เพื่อให้โหลดไฟล์ JAR ที่ถูกบีบอัดในรูปของ RAR เมื่อเหยื่อเผลอเปิดไฟล์ดังกล่าว โปรเซส Java จะเริ่มรันมัลแวร์และติดตั้ง Banking Trojan ลงบนเครื่องทันที

อย่างไรก็ตาม พบว่าแคมเปญ Phishing นี้แพร่กระจายในประเทศบราซิลเพียงอย่างเดียว ยังไม่พบรายงานการแพร่กระจายตัวไปยังภูมิภาคอื่นๆ

รายละเอียดเชิงเทคนิค: http://blog.talosintelligence.com/2017/09/brazilbanking.html

ที่มา: https://www.scmagazine.com/brazilian-trojan-uses-an-authentic-vmware-binary-to-deceive-security-tools/article/698097/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Apple จับมือ Google พัฒนาระบบแจ้งเตือนความเสี่ยง COVID-19 บน iPhone และ Android

เพื่อรับมือกับ COVID-19 ที่กำลังแพร่ระบาดทั่วโลกในเวลานี้ Apple จึงได้จับมือกับ Google เพื่อพัฒนาให้ Smartphone ของตนเองนั้นสามารถแจ้งเตือนผู้ใช้งานได้หากผู้ใช้งานคนนั้นเคยมีประวัติเข้าใกล้ผู้ที่ติด COVID-19

TechTalk Webinar: Digital Workforce: The game changer now and COVID afterward โดย STelligence

TechTalkThai ขอเรียนเชิญ CIO, CTO, COO, IT Manager, ผู้จัดการในส่วนต่างๆ ของธุรกิจ, ผู้ดูแลระบบ IT, และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "Digital Workforce: The game changer now and COVID afterward โดย STelligence" เพื่อร่วมรับฟังถึงทิศทางในอนาคตของโลกธุรกิจจากการมาของ Digital Workforce ที่จะเปลี่ยนวิธีการทำงานไปอย่างสิ้นเชิง พร้อมแนะนำเทคโนโลยีที่เกี่ยวข้อง ในวันศุกร์ที่ 17 เมษายน 2020 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้