เตือนมัลแวร์ CrossRAT แพร่ระบาดบน Windows, macOS และ Linux

นักวิจัยด้านความมั่นคงปลอดภัยหลายรายออกมาแจ้งเตือนถึงมัลแวร์แบบ Cross-platform ตัวใหม่ ชื่อว่า CrossRAT พุ่งเป้าโจมตีระบบปฏิบัติการทั้ง Windows, macOS, Solaris และ Linux โดยแพร่กระจายผ่านการทำ Social Engineering บน Facebook และ WhatsApp ที่สำคัญคือซอฟต์แวร์ Antivirus ส่วนใหญ่ยังตรวจจับไม่ได้

Credit: ShutterStock.com

จากการตรวจสอบ เชื่อว่า CrossRAT ถูกพัฒนาโดยกลุ่มแฮ็กเกอร์นามว่า “Dark Caracal” ซึ่งเป็นกลุ่มเจ้าของ Advanced Persistent Threat กลุ่มใหม่ที่เน้นโจรกรรมข้อมูลบนอุปกรณ์พกพาที่ใช้งานกันอยู่ทั่วโลก โดย CrossRAT เป็น Remote Access Trojan แบบ Cross-platform ซึ่งช่วยให้แฮ็กเกอร์สามารถจัดการกับระบบไฟล์ ถ่ายรูปหน้าจอ ลอบรันโค้ด และแฝงตัวเขามายังระบบคอมพิวเตอร์จากระยะไกลได้

CrossRAT ไม่ได้ใช้การโจมตีแบบ Zero-day เพื่อแพร่กระจายตัวแต่อย่างใด แต่ใช้วิธีพื้นฐานอย่างการทำ Social Engineering ผ่านทางการโพสต์ข้อความลง Facebook Group และ WhatsApp เพื่อหลอกให้ผู้ใช้เข้าถึงเว็บไซต์ของแฮ็กเกอร์และดาวน์โหลดมัลแวร์มาติดตั้ง เนื่องจาก CrossRAT ถูกพัฒนาโดยใช้ภาษา Java ทำให้ง่ายต่อการทำ Reverse Engineer และตรวจสอบการทำงานภายใน

เมื่อ CrossRAT ถูกดาวน์โหลดมา มันจะเริ่มตรวจสอบระบบปฏิบัติและรายละเอียดต่างๆ ของคอมพิวเตอร์ที่ตนเองกำลังรันอยู่ เพื่อที่จะติดตั้งตัวเองได้อย่างถูกต้อง และใช้กลไกพิเศษบางอย่างเพื่อให้ตัวเองสามารถเริ่มการทำงานทุกครั้งที่มีการรีบูต จากนั้นทำการลงทะเบียนเข้ากับ C&C Server เพื่อให้แฮ็กเกอร์สามารถส่งคำสั่งและขโมยข้อมูลออกจากเครื่องได้

สำหรับวิธีการตรวจสอบว่าติด CrossRAT สามารถทำได้ดังนี้

  • Windows: เช็ค Registry Key ‘HKCU\Software\Microsoft\Windows\CurrentVersion\Run\’ ว่ามีคำสั่งที่ประกอบด้วย java, -jar และ mediamgrs.jar อยู่หรือไม่
  • macOS: ตรวจสอบไฟล์ jar, mediamgrs.jar ใน ~/Library และ Launch Agent ที่ชื่อว่า mediamgrs.plist ใน /Library/LaunchAgents หรือ ~/Library/LaunchAgents
  • Linux: ตรวจสอบไฟล์ jar, mediamgrs.jar ใน /usr/var และไฟล์ autostart ใน ~/.config/autostart ว่ามีชื่อประมาณ mediamgrs.desktop อยู่หรือไม่

จากการทดสอบโดยใช้ซอฟต์แวร์ Antivirus รวม 58 ผลิตภัณฑ์บน VirusTotal พบว่าขณะที่เขียนบทความอยู่นี้มีเพียง 19 ผลิตภัณฑ์เท่านั้นที่สามารถตรวจจับ CrossRAT ได้ ผู้ที่สนใจสามารถอ่านรายละเอียดเชิงเทคนิคที่วิเคราะห์โดย Patrick Wardle อดีตแฮ็กเกอร์ของ NSA ได้ที่ https://objective-see.com/blog/blog_0x28.html

ที่มา: https://thehackernews.com/2018/01/crossrat-malware.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Alibaba ปรับทัพรับครึ่งปีหลัง 2569 เร่งสปีดการเติบโตด้าน AI [PR]

อาลีบาบา ประกาศความสำเร็จครั้งใหญ่ช่วงครึ่งแรกของปี 2569 ซึ่งสะท้อนให้เห็นความก้าวหน้าอย่างต่อเนื่องของกลยุทธ์ด้าน AI และการเสริมแกร่งรากฐานสู่การเติบโตอย่างยั่งยืนในยุคที่ AI กำลังวิวัฒนาการอย่างไม่หยุดนิ่ง

รู้จัก Manee Tech Estate พร้อมเจาะลึกพื้นที่ฉะเชิงเทรา และการพัฒนาพื้นที่ AI Data Center ในไทย

คลื่นความเปลี่ยนแปลงของเทคโนโลยี Generative AI และ Cloud Computing ในปัจจุบัน ไม่ได้สร้างผล กระทบแค่ในโลกซอฟต์แวร์ แต่กำลังเขย่าโครงสร้างพื้นฐานทางกายภาพทั่วโลก อุตสาหกรรมเทคโนโลยีระดับโลกและเหล่า Hyperscaler ต่างกำลังเผชิญกับปัญหาคอขวดที่สำคัญที่สุด นั่นคือข้อจำกัดด้านพื้นที่และพลังงานที่ไม่เพียงพอต่อการขยายตัวของ AI …