เตือนมัลแวร์ CrossRAT แพร่ระบาดบน Windows, macOS และ Linux

January 26, 2018 Uncategorized

นักวิจัยด้านความมั่นคงปลอดภัยหลายรายออกมาแจ้งเตือนถึงมัลแวร์แบบ Cross-platform ตัวใหม่ ชื่อว่า CrossRAT พุ่งเป้าโจมตีระบบปฏิบัติการทั้ง Windows, macOS, Solaris และ Linux โดยแพร่กระจายผ่านการทำ Social Engineering บน Facebook และ WhatsApp ที่สำคัญคือซอฟต์แวร์ Antivirus ส่วนใหญ่ยังตรวจจับไม่ได้

Credit: ShutterStock.com

จากการตรวจสอบ เชื่อว่า CrossRAT ถูกพัฒนาโดยกลุ่มแฮ็กเกอร์นามว่า “Dark Caracal” ซึ่งเป็นกลุ่มเจ้าของ Advanced Persistent Threat กลุ่มใหม่ที่เน้นโจรกรรมข้อมูลบนอุปกรณ์พกพาที่ใช้งานกันอยู่ทั่วโลก โดย CrossRAT เป็น Remote Access Trojan แบบ Cross-platform ซึ่งช่วยให้แฮ็กเกอร์สามารถจัดการกับระบบไฟล์ ถ่ายรูปหน้าจอ ลอบรันโค้ด และแฝงตัวเขามายังระบบคอมพิวเตอร์จากระยะไกลได้

CrossRAT ไม่ได้ใช้การโจมตีแบบ Zero-day เพื่อแพร่กระจายตัวแต่อย่างใด แต่ใช้วิธีพื้นฐานอย่างการทำ Social Engineering ผ่านทางการโพสต์ข้อความลง Facebook Group และ WhatsApp เพื่อหลอกให้ผู้ใช้เข้าถึงเว็บไซต์ของแฮ็กเกอร์และดาวน์โหลดมัลแวร์มาติดตั้ง เนื่องจาก CrossRAT ถูกพัฒนาโดยใช้ภาษา Java ทำให้ง่ายต่อการทำ Reverse Engineer และตรวจสอบการทำงานภายใน

เมื่อ CrossRAT ถูกดาวน์โหลดมา มันจะเริ่มตรวจสอบระบบปฏิบัติและรายละเอียดต่างๆ ของคอมพิวเตอร์ที่ตนเองกำลังรันอยู่ เพื่อที่จะติดตั้งตัวเองได้อย่างถูกต้อง และใช้กลไกพิเศษบางอย่างเพื่อให้ตัวเองสามารถเริ่มการทำงานทุกครั้งที่มีการรีบูต จากนั้นทำการลงทะเบียนเข้ากับ C&C Server เพื่อให้แฮ็กเกอร์สามารถส่งคำสั่งและขโมยข้อมูลออกจากเครื่องได้

สำหรับวิธีการตรวจสอบว่าติด CrossRAT สามารถทำได้ดังนี้

  • Windows: เช็ค Registry Key ‘HKCU\Software\Microsoft\Windows\CurrentVersion\Run\’ ว่ามีคำสั่งที่ประกอบด้วย java, -jar และ mediamgrs.jar อยู่หรือไม่
  • macOS: ตรวจสอบไฟล์ jar, mediamgrs.jar ใน ~/Library และ Launch Agent ที่ชื่อว่า mediamgrs.plist ใน /Library/LaunchAgents หรือ ~/Library/LaunchAgents
  • Linux: ตรวจสอบไฟล์ jar, mediamgrs.jar ใน /usr/var และไฟล์ autostart ใน ~/.config/autostart ว่ามีชื่อประมาณ mediamgrs.desktop อยู่หรือไม่

จากการทดสอบโดยใช้ซอฟต์แวร์ Antivirus รวม 58 ผลิตภัณฑ์บน VirusTotal พบว่าขณะที่เขียนบทความอยู่นี้มีเพียง 19 ผลิตภัณฑ์เท่านั้นที่สามารถตรวจจับ CrossRAT ได้ ผู้ที่สนใจสามารถอ่านรายละเอียดเชิงเทคนิคที่วิเคราะห์โดย Patrick Wardle อดีตแฮ็กเกอร์ของ NSA ได้ที่ https://objective-see.com/blog/blog_0x28.html

ที่มา: https://thehackernews.com/2018/01/crossrat-malware.html

Tags

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Google อัปเกรด NotebookLM เป็น Gemini 3.5 พร้อมเพิ่มฟีเจอร์เขียนโค้ด

Google ได้ทำการอัปเดตบริการ NotebookLM ด้วยการเพิ่มชุดฟีเจอร์สำหรับการค้นคว้าข้อมูลออนไลน์และการเขียนโค้ด ซึ่งออกแบบมาเพื่อช่วยประหยัดเวลาให้แก่ผู้ใช้งาน

แผนซูเปอร์แอป OpenAI ใกล้เป็นจริง หนึ่งในพนักงานลั่น ‘แชตตายแล้ว’

OpenAI Group ยังคงมุ่งมั่นกับแผนการเปลี่ยนโฉม ChatGPT ให้กลายเป็น “ซูเปอร์แอป” โดยจะเน้นหนักไปที่ระบบเอเจนต์ปัญญาประดิษฐ์และบอตเขียนโค้ดอัตโนมัติ ตามรายงานล่าสุดจากสำนักข่าว Financial Times ในช่วงสุดสัปดาห์ที่ผ่านมา

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand