Black Hat Asia 2021

เตือนมัลแวร์ CrossRAT แพร่ระบาดบน Windows, macOS และ Linux

นักวิจัยด้านความมั่นคงปลอดภัยหลายรายออกมาแจ้งเตือนถึงมัลแวร์แบบ Cross-platform ตัวใหม่ ชื่อว่า CrossRAT พุ่งเป้าโจมตีระบบปฏิบัติการทั้ง Windows, macOS, Solaris และ Linux โดยแพร่กระจายผ่านการทำ Social Engineering บน Facebook และ WhatsApp ที่สำคัญคือซอฟต์แวร์ Antivirus ส่วนใหญ่ยังตรวจจับไม่ได้

Credit: ShutterStock.com

จากการตรวจสอบ เชื่อว่า CrossRAT ถูกพัฒนาโดยกลุ่มแฮ็กเกอร์นามว่า “Dark Caracal” ซึ่งเป็นกลุ่มเจ้าของ Advanced Persistent Threat กลุ่มใหม่ที่เน้นโจรกรรมข้อมูลบนอุปกรณ์พกพาที่ใช้งานกันอยู่ทั่วโลก โดย CrossRAT เป็น Remote Access Trojan แบบ Cross-platform ซึ่งช่วยให้แฮ็กเกอร์สามารถจัดการกับระบบไฟล์ ถ่ายรูปหน้าจอ ลอบรันโค้ด และแฝงตัวเขามายังระบบคอมพิวเตอร์จากระยะไกลได้

CrossRAT ไม่ได้ใช้การโจมตีแบบ Zero-day เพื่อแพร่กระจายตัวแต่อย่างใด แต่ใช้วิธีพื้นฐานอย่างการทำ Social Engineering ผ่านทางการโพสต์ข้อความลง Facebook Group และ WhatsApp เพื่อหลอกให้ผู้ใช้เข้าถึงเว็บไซต์ของแฮ็กเกอร์และดาวน์โหลดมัลแวร์มาติดตั้ง เนื่องจาก CrossRAT ถูกพัฒนาโดยใช้ภาษา Java ทำให้ง่ายต่อการทำ Reverse Engineer และตรวจสอบการทำงานภายใน

เมื่อ CrossRAT ถูกดาวน์โหลดมา มันจะเริ่มตรวจสอบระบบปฏิบัติและรายละเอียดต่างๆ ของคอมพิวเตอร์ที่ตนเองกำลังรันอยู่ เพื่อที่จะติดตั้งตัวเองได้อย่างถูกต้อง และใช้กลไกพิเศษบางอย่างเพื่อให้ตัวเองสามารถเริ่มการทำงานทุกครั้งที่มีการรีบูต จากนั้นทำการลงทะเบียนเข้ากับ C&C Server เพื่อให้แฮ็กเกอร์สามารถส่งคำสั่งและขโมยข้อมูลออกจากเครื่องได้

สำหรับวิธีการตรวจสอบว่าติด CrossRAT สามารถทำได้ดังนี้

  • Windows: เช็ค Registry Key ‘HKCU\Software\Microsoft\Windows\CurrentVersion\Run\’ ว่ามีคำสั่งที่ประกอบด้วย java, -jar และ mediamgrs.jar อยู่หรือไม่
  • macOS: ตรวจสอบไฟล์ jar, mediamgrs.jar ใน ~/Library และ Launch Agent ที่ชื่อว่า mediamgrs.plist ใน /Library/LaunchAgents หรือ ~/Library/LaunchAgents
  • Linux: ตรวจสอบไฟล์ jar, mediamgrs.jar ใน /usr/var และไฟล์ autostart ใน ~/.config/autostart ว่ามีชื่อประมาณ mediamgrs.desktop อยู่หรือไม่

จากการทดสอบโดยใช้ซอฟต์แวร์ Antivirus รวม 58 ผลิตภัณฑ์บน VirusTotal พบว่าขณะที่เขียนบทความอยู่นี้มีเพียง 19 ผลิตภัณฑ์เท่านั้นที่สามารถตรวจจับ CrossRAT ได้ ผู้ที่สนใจสามารถอ่านรายละเอียดเชิงเทคนิคที่วิเคราะห์โดย Patrick Wardle อดีตแฮ็กเกอร์ของ NSA ได้ที่ https://objective-see.com/blog/blog_0x28.html

ที่มา: https://thehackernews.com/2018/01/crossrat-malware.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เซลส์ฟอร์ซ Webinar: สรรหาและรักษาบุคลากรที่มีความสามารถ เพื่อก้าวสู่การทำงานแห่งอนาคต [12 พ.ค. 2021 – 09.30น.]

TechTalkThai ขอเรียนเชิญ CIO, CTO, CHRO, IT Manager, HR Manager, ผู้ดูแลระบบ IT, เจ้าหน้าที่ฝ่ายทรัพยากรบุคคล และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "สรรหาและรักษาบุคลากรที่มีความสามารถ เพื่อก้าวสู่การทำงานแห่งอนาคต โดย เซลส์ฟอร์ซ" เพื่อทำความรู้จักเทคโนโลยีสำหรับฝ่าย HR และ IT ในการสร้าง Employee Experience ที่ดีซึ่งจะช่วยให้ธุรกิจองค์กรสามารถดำเนินต่อไปได้ท่ามกลางการทำงานแบบ Remote Work อย่างมีประสิทธิภาพ ในวันพุธที่ 12 พฤษภาคม 2021 เวลา 9.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้

[Guest Post] เหตุผลที่ผู้ผลิตอาหารในเอเชียหันมาใช้ระบบคลาวด์

ความต้องการของผู้บริโภคปัจจุบันเพิ่มขึ้นมากกว่าในอดีต  ผลพวงมาจากความคุ้นเคยที่ได้รับจากความสะดวกสบายแบบเฉพาะเจาะจงส่วนบุคคลผ่านสมาร์ทโฟนที่ทันสมัยที่มีการเชื่อมต่อตลอดเวลา รวมถึงการเพิ่มขึ้นอย่างต่อเนื่องของมาตรฐานการปฏิบัติตามข้อกำหนดด้านอาหารทั่วโลก  การรับรู้เกี่ยวกับความสำคัญด้านความปลอดภัยอาหารและคุณภาพของผลิตภัณฑ์