TTT 2025 Events

พบ Exploit Kit มุ่งโจมตี Android ลอบส่ง Ransomware เข้าเครื่องโดยผู้ใช้ไม่รู้ตัว

April 25, 2016 Blue Coat, Cybersecurity, Endpoint Security, Mobile Enterprise, Mobile Security, Products, Threats Update

blue_coat_logo

Blue Coat ผู้ให้บริการโซลูชัน Web & Cloud Security ชั้นนำของโลก ออกมาแจ้งเตือนถึง Ransomware หรือมัลแวร์เรียกค่าไถ่ตัวใหม่ เรียกตัวเองว่า “Cyber.Police” ซึ่งพุ่งเป้าโจมตีอุปกรณ์ Android โดยเฉพาะ เหยื่อจำเป็นต้องจ่ายค่าไถ่เป็น iTunes Gift Card จำนวนเงิน $200 หรือประมาณ 7,000 บาท แลกกับการปลดล็อกเข้าใช้งานอุปกรณ์

อ้างเป็นเจ้าหน้าที่รัฐ ล็อกอุปกรณ์ไม่ให้ใช้งาน

ทีมนักวิจัยจาก Blue Coat เรียกมัลแวร์ตัวนี้ว่า “Dogspectus” โดยมีความแตกต่างจาก Ransomware ปกติเล็กน้อย คือ มัลแวร์ดังกล่าวไม่ได้ทำการเข้ารหัสไฟล์ข้อมูลของผู้ใช้ แต่จะทำการบล็อกอุปกรณ์ให้ไม่สามารถใช้งานได้ จากนั้นจะแสดงข้อความสวมรอยเป็นตำรวจไซเบอร์ของ American National Security Agency (เป็นหน่วยงานที่ไม่มีอยู่จริง) ระบุว่า ผู้ใช้ได้กระทำสิ่งผิดกฏหมายจึงต้องล็อกอุปกรณ์ไม่ให้ใช้งาน

blue_coar_cyber-police_ransomware

เพื่อปลดล็อกอุปกรณ์ดังกล่าว เหยื่อจำเป็นต้องซื้อ iTunes Gift Card ราคา $100 จำนวน 2 ใบแล้วส่งโค้ดมาให้ทางแฮ็คเกอร์ที่แอบอ้างตัวเป็นเจ้าหน้าที่

พุ่งเป้าโจมตี Android เวอร์ชัน 4.x

เป้าหมายหลักของ Ransomware คือ อุปกรณ์ระบบปฏิบัติการ Android เวอร์ชัน 4.x เนื่องจาก Blue Coat ตรวจพบว่ามีอุปกรณ์ไม่น้อยกว่า 224 เครื่องที่รันเวอร์ชัน 4.0.3 ถึง 4.4.4 ทำการติดต่อกับเซิร์ฟเวอร์ที่ใช้แพร่กระจาย Ransomware ดังกล่าว แต่ไม่พบอุปกรณ์ที่รัน Android เวอร์ชัน 5.x หรือ 6.x เลยแม้แต่น้อย

กระจาย Ransomware ผ่านทาง Exploit Kit

ที่น่าสนใจสำหรับ Ransomware นี้คือ มันแพร่กระจายผ่านทาง Malvertising หรือโฆษณาที่มี Malicious JavaScript ฝังอยู่ โดยสามารถติดตั้ง Payload ได้โดยไม่ต้องอาศัยการปฏิสัมพันธ์ใดๆ กับผู้ใช้ ซึ่ง JavaScript นั้นประกอบด้วย Exploit Kit ที่ใช้เจาะช่องโหว่ libxslt หนึ่งในช่องโหว่ที่รั่วไหลมาจากกรณี Hacking Team จากนั้นจะทำการส่ง Payload ซึ่งเป็น Towelroot Exploit เข้าไปเพื่อทำการติดตั้ง Ransomware โดยอัตโนมัติ

“เท่าที่ผมรู้ นี่เป็นครั้งแรกที่ผมเจอ Exploit Kit ที่สามารถติดตั้ง Malicious App ได้สำเร็จบนอุปกรณ์พกพาโดยที่ไม่ต้องอาศัยปฏิสัมพันธ์ใดๆ กับเหยื่อแม้แต่นิดเดียว” — Andrew Brandt นักวิจัยจาก Blue Coat ให้ความเห็น

สำรองข้อมูลแล้วคลีนมัลแวร์ได้ด้วยตัวเอง

อย่างไรก็ตาม วิธีจัดการกับ Cyber.Police ไม่ได้ยากเมื่อเทียบกับ Ransomware ทั่วไป เนื่องจากอุปกรณ์ที่ติดมัลแวร์ยังคงสามารถเชื่อมต่อกับคอมพิวเตอร์เพื่อถ่ายโอนเอกสาร รูปภาพ และไฟล์อื่นๆ ที่อยู่ใน Memory และ SD Card ออกมาสำรองไว้ก่อนได้ จากนั้นก็ทำการ Factory Reset เพื่อกำจัดมัลแวร์ออกไป อัพเดทเป็นระบบปฏิบัติการล่าสุด แล้วโอนย้ายข้อมูลกลับคืนมา

ที่มา: https://www.helpnetsecurity.com/2016/04/25/exploit-kit-targets-android-devices/

Tags

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

แชทหลุดทำเนียบขาว: แผนสงครามเยเมนถูกแชร์ให้บรรณาธิการ The Atlantic ผ่าน Signal

สภาความมั่นคงแห่งชาติสหรัฐฯ (National Security Council – NSC) ประกาศว่ากำลังตรวจสอบเหตุการณ์ที่ Jeffrey Goldberg บรรณาธิการบริหารของ The Atlantic ถูกเพิ่มเข้าไปในกลุ่มแชท Signal โดยไม่ตั้งใจ …

[Video Webinar] เผยจุดบอด ลดความหัวร้อน ด้วย Deep Observability จาก Gigamon

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย “เผยจุดบอด ลดความหัวร้อน ด้วย Deep Observability” พร้อมเรียนรู้กลยุทธ์และแนวทางปฏิบัติในการตรวจจับภัยไซเบอร์บน East-West Traffic บนระบบ Hybrid Cloud ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง สามารถเข้าชมวิดีโอบันทึกย้อนหลังได้ที่บทความนี้ครับ

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand