พบการโจมตีใหม่ ซ่อน Backdoor และ Cryptominer ในไฟล์เสียง .WAV

นักวิจัยจาก BlackBerry Cylance ได้ออกมาประกาศถึงการค้นพบการโจมตีแบบใหม่ที่อาศัยไฟล์เสียงนามสกุล .WAV ในการซ่อม Backdoor และ Monero Cryptominer เพื่อใช้ในการโจมตี

Credit: ShutterStock

ก่อนหน้านี้การซ่อม Payload สำหรับใช้ในการโจมตีนั้นมักนิยมทำกับไฟล์ภาพนามสกุล .JPEG หรือ .PNG ด้วยการอาศัยเทคนิค Steganography กันเป็นหลักเพื่อหลบการตรวจจับจากเทคโนโลยี Anti-Malware แต่สำหรับการซ่อน Payload ในไฟล์เสียงนั้น นี่ถือเป็นครั้งที่สองเท่านั้น โดยครั้งแรกนั้นคือการที่ Symantec ตรวจพบกลุ่ม Turla ว่ามีการฝัง Metasploit Meterpreter Backdoor มาใน .WAV

การค้นพบในครั้งนี้ ทีม Cylance ได้พบการทำ Steganography เพื่อโจมตีเหยื่อด้วย XMRig Monero Cryptominer หรือใช้ Metasploit เพื่อเปิด Reverse Shell โดยตัวไฟล์เสียงเหล่านั้นหากเปิดฟังแล้วก็จะพบว่าเป็นไฟล์เสียงตามปกติที่ไม่ได้มีปัญหาในเชิงคุณภาพใดๆ หรือเป็นเสียงนิ่งๆ แบบ White Noise เท่านั้น ซึ่งตัวไฟล์เสียงเหล่นี้จะมาพร้อมกับ Loader ที่ทำการ Decode และ Execute คำสั่งต่างๆ ที่ถูกซ่อนอยู่ในไฟล์เสียงเหล่านั้นด้วย โดยมีวิธีการในการ Decode และ Execute ที่แตกต่างกันออกไปถึง 3 แบบด้วยกัน

สำหรับรายงานฉบับเต็มจาก Cylance สามารถอ่านได้ที่ https://threatvector.cylance.com/en_us/home/malicious-payloads-hiding-beneath-the-wav.html ครับ

ที่มา: https://www.bleepingcomputer.com/news/security/attackers-hide-backdoors-and-cryptominers-in-wav-audio-files/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

VRCOMM Webinar: วิเคราะห์หลักเกณฑ์การเก็บ Log ตาม พ.ร.บ.ฯ ปี 2564 กับ NetEvid

VRCOMM ขอเรียนเชิญผู้บริหารและผู้ปฏิบัติงานด้าน IT เข้าร่วมงานสัมมนา VRCOMM Webinar เรื่อง "วิเคราะห์หลักเกณฑ์การเก็บ Log ตาม พ.ร.บ.ฯ ปี 2564 กับ NetEvid" พร้อมแนะนำเครื่องมือและแนวทางปฏิบัติในการเก็บ Log ให้สอดคล้องกับ พ.ร.บ.ฯ ในวันศุกร์ที่ 29 ตุลาคม 2021 เวลา 14:00 น. ผ่านทาง Live Webinar ฟรี

ปกป้องระบบ Cloud ขององค์กรให้มั่นคงปลอดภัย ด้วย 3 โซลูชันล่าสุดจาก Check Point โดย G-Able

เพื่อช่วยให้ธุรกิจองค์กรสามารถตอบโจทย์ด้านความมั่นคงปลอดภัยบน Cloud ได้อย่างครอบคลุม Check Point Software Technologies และ G-Able จึงได้ร่วมมือกันเพื่อนำ 3 โซลูชันใหม่ล่าสุดทางด้าน Cybersecurity มานำเสนอต่อธุรกิจองค์กรไทย เพื่อให้นำไปใช้เสริมความมั่งคงปลอดภัยในส่วนที่ยังขาดอยู่แตกต่างกันไปในแต่ละองค์กร ดังนี้