เตือนมัลแวร์ CrossRAT แพร่ระบาดบน Windows, macOS และ Linux

January 26, 2018 Uncategorized

นักวิจัยด้านความมั่นคงปลอดภัยหลายรายออกมาแจ้งเตือนถึงมัลแวร์แบบ Cross-platform ตัวใหม่ ชื่อว่า CrossRAT พุ่งเป้าโจมตีระบบปฏิบัติการทั้ง Windows, macOS, Solaris และ Linux โดยแพร่กระจายผ่านการทำ Social Engineering บน Facebook และ WhatsApp ที่สำคัญคือซอฟต์แวร์ Antivirus ส่วนใหญ่ยังตรวจจับไม่ได้

Credit: ShutterStock.com

จากการตรวจสอบ เชื่อว่า CrossRAT ถูกพัฒนาโดยกลุ่มแฮ็กเกอร์นามว่า “Dark Caracal” ซึ่งเป็นกลุ่มเจ้าของ Advanced Persistent Threat กลุ่มใหม่ที่เน้นโจรกรรมข้อมูลบนอุปกรณ์พกพาที่ใช้งานกันอยู่ทั่วโลก โดย CrossRAT เป็น Remote Access Trojan แบบ Cross-platform ซึ่งช่วยให้แฮ็กเกอร์สามารถจัดการกับระบบไฟล์ ถ่ายรูปหน้าจอ ลอบรันโค้ด และแฝงตัวเขามายังระบบคอมพิวเตอร์จากระยะไกลได้

CrossRAT ไม่ได้ใช้การโจมตีแบบ Zero-day เพื่อแพร่กระจายตัวแต่อย่างใด แต่ใช้วิธีพื้นฐานอย่างการทำ Social Engineering ผ่านทางการโพสต์ข้อความลง Facebook Group และ WhatsApp เพื่อหลอกให้ผู้ใช้เข้าถึงเว็บไซต์ของแฮ็กเกอร์และดาวน์โหลดมัลแวร์มาติดตั้ง เนื่องจาก CrossRAT ถูกพัฒนาโดยใช้ภาษา Java ทำให้ง่ายต่อการทำ Reverse Engineer และตรวจสอบการทำงานภายใน

เมื่อ CrossRAT ถูกดาวน์โหลดมา มันจะเริ่มตรวจสอบระบบปฏิบัติและรายละเอียดต่างๆ ของคอมพิวเตอร์ที่ตนเองกำลังรันอยู่ เพื่อที่จะติดตั้งตัวเองได้อย่างถูกต้อง และใช้กลไกพิเศษบางอย่างเพื่อให้ตัวเองสามารถเริ่มการทำงานทุกครั้งที่มีการรีบูต จากนั้นทำการลงทะเบียนเข้ากับ C&C Server เพื่อให้แฮ็กเกอร์สามารถส่งคำสั่งและขโมยข้อมูลออกจากเครื่องได้

สำหรับวิธีการตรวจสอบว่าติด CrossRAT สามารถทำได้ดังนี้

  • Windows: เช็ค Registry Key ‘HKCU\Software\Microsoft\Windows\CurrentVersion\Run\’ ว่ามีคำสั่งที่ประกอบด้วย java, -jar และ mediamgrs.jar อยู่หรือไม่
  • macOS: ตรวจสอบไฟล์ jar, mediamgrs.jar ใน ~/Library และ Launch Agent ที่ชื่อว่า mediamgrs.plist ใน /Library/LaunchAgents หรือ ~/Library/LaunchAgents
  • Linux: ตรวจสอบไฟล์ jar, mediamgrs.jar ใน /usr/var และไฟล์ autostart ใน ~/.config/autostart ว่ามีชื่อประมาณ mediamgrs.desktop อยู่หรือไม่

จากการทดสอบโดยใช้ซอฟต์แวร์ Antivirus รวม 58 ผลิตภัณฑ์บน VirusTotal พบว่าขณะที่เขียนบทความอยู่นี้มีเพียง 19 ผลิตภัณฑ์เท่านั้นที่สามารถตรวจจับ CrossRAT ได้ ผู้ที่สนใจสามารถอ่านรายละเอียดเชิงเทคนิคที่วิเคราะห์โดย Patrick Wardle อดีตแฮ็กเกอร์ของ NSA ได้ที่ https://objective-see.com/blog/blog_0x28.html

ที่มา: https://thehackernews.com/2018/01/crossrat-malware.html

Tags

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Meta จับมือ AWS เดินหน้าปั้น Agentic AI ด้วยการใช้งานชิป Graviton ระดับสิบล้านคอร์

Meta ประกาศบรรลุข้อตกลงในการขยายความร่วมมือกับ AWS เพื่อนำหน่วยประมวลผล AWS Graviton เข้ามาใช้งานในระดับมากขึ้น เบื้องต้นเริ่มต้นที่หลายสิบล้านคอร์ เพื่อผลักดันและรองรับการใช้งานเบื้องหลังการพัฒนา Agentic AI ในอนาคต โดยข้อตกลงดังกล่าวส่งผลให้ Meta ก้าวขึ้นเป็นหนึ่งในลูกค้าผู้ใช้งานชิป …

LIV Golf ร่วมมือ Salesforce ดึง AI Agent ยกระดับประสบการณ์แฟนกอล์ฟ และเปลี่ยนผ่านองค์กรสู่ Agentic Enterprise

LIV Golf ทัวร์นาเมนต์กอล์ฟชายระดับโลก และคู่แข่งของ PGA Tour กางแผนดึงดูดฐานแฟนคลับกลุ่มคนรุ่นใหม่ด้วยการนำเทคโนโลยี Agentic AI จาก Salesforce เข้ามายกระดับประสบการณ์การรับชม พร้อมเปลี่ยนผ่านองค์กรสู่การเป็น Agentic Enterprise …

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand