Cisco Talos เผยมัลแวร์ Astaroth แอบติดต่อเซิร์ฟเวอร์ผ่าน Description ของ YouTube Channel

Cisco Talos ได้เปิดเผยรายงานฉบับใหม่ของมัลแวร์ Astaroth ที่มีการอัปเดตความสามารถเพื่อเชื่อมต่อกับส่วนสั่งการผ่านข้อมูลส่วน Description ของ YouTube Channel

Astaroth เป็นโทรจันที่มีชื่อเสียงในเรื่องของการขโมยข้อมูล ซ่อนตัว และป้องกันการวิเคราะห์ เช่นมีการตรวจสอบก่อนว่าปฏิบัติการอยู่บนเครื่องจริงหรือเครื่องจำลอง ทั้งนี้ Astaroth ถูกค้นพบมาตั้งแต่ปี 2018 แล้วซึ่งก็ได้รับการพัฒนาฟีเจอร์ใหม่อยู่เรื่อยมา

ล่าสุดทาง Cisco Talos ได้เปิดเผยผลการศึกษา Astaroth พบว่ามัลแวร์ได้ลอบติดต่อคำสั่งการผ่าน YouTube Channel (ตามภาพด้านบน) ไอเดียคือคนร้ายได้ทิ้ง URL ของเซิร์ฟเวอร์สั่งการ (C&C) ไว้ใน YouTube Channel Description ที่ Encode ด้วย Base64 ซึ่งมัลแวร์จะใช้ข้อมูลตรงนี้เพื่อรับคำสั่งกับส่งข้อมูลออกไป ทั้งนี้แม้ว่าผู้เชี่ยวชาญจะทราบถึงข้อมูลตรงนี้แล้วแต่นี่ก็เป็นเพียง 1 ใน 3 วิธีที่ Astaroth ใช้ติดต่อกับเซิร์ฟเวอร์เท่านั้น

อย่างไรก็ตามเทคนิคอื่นๆ ของ Astaroth ยังคนเหมือนเดิมคือ Fileless Execution, Living-off-the-land และแพร่ตัวเองผ่านอีเมล และเคราะห์ดีคือ Astaroth ยังโจมตีอยู่แค่ในแถบประเทศบราซิลเท่านั้น แต่จะขยายวงกว้างกว่านี้ในอนาคตหรือไม่ยังไม่มีใครรู้ได้

ที่มา :  https://www.zdnet.com/article/astaroth-malware-hides-command-servers-in-youtube-channel-descriptions/