พบ Banking Trojan ใช้เทคนิคใหม่หลบการตรวจของ Antivirus และ Browser

นักวิจัยจาก ESET ได้รายงานพบ Banking Trojan ที่มีการใช้เทคนิคใหม่เพื่อหลบเลี่ยงการตรวจจับของ Antivirus และการป้องกันด้านความมั่นคงปลอดภัยในระดับ Browser โดยให้ชื่อมัลแวร์ตัวนี้ว่า BackSwap นอกจากนี้คาดกันว่าเทคนิคใหม่ที่ไม่เคยพบเห็นมาก่อนนี้จะกลายเป็นต้นแบบการโจมตีให้แฮ็กเกอร์กลุ่มอื่นๆ ต่อไปในอนาคต

เทคนิคของ Banking Trojan แบบเดิมๆ มี 2 วิธี

• แก้ไข Local DNS และการตั้งค่าอินเทอร์เน็ตของผู้ใช้งาน โดยการดักจับการเรียกใช้งานไซต์ของธุรกรรมการเงินและทำการ Redirect ผู้ใช้ผ่าน Proxy ไปยังหน้าเว็บเลียนแบบหน้าธุรกรรมการเงินจริงเพื่อหลอกให้ใส่ Credentials
• Inject โค้ดอันตรายเข้าไปยังโปรเซสของ Browser ซึ่งวิธีการนี้พักหลัง Banking Trojan ดังๆ หลายตัวนิยมมาก เช่น Dridex, Ursnif, Zbot, Trickbot, Qbot และอื่นๆ อย่างไรก็ตามบรรดา Browser หรือ Antivirus ทั้งหลายเริ่มรู้ทันจึงมีการปรับปรุงให้ทำได้ยากมาก จนอาจกลายเป็นสาเหตุที่คนร้ายย้ายไปโจมตีช่องทางอื่นแทน เช่น in-browser Miner, Ransomware หรืออื่นๆ

รายงานของ ESET ได้เผยถึงเทคนิคใหม่ 3 เทคนิคซึ่งต่างกับวิธีการเดิมๆ ดังนี้

• เทคนิคที่ใช้ตรวจจับการเรียกใช้งานเว็บไซต์ด้านการเงิน

โทรจันตัวนี้ได้อาศัยกลไกของ Windows ปกติที่เรียกว่า ‘Message Loop‘ (เนื่องจากการเขียน GUI แบบ Windows เป็น Event Driven ที่มี Queue เพื่อเก็บข้อความของ Action Message ดังนั้นทางผู้เขียนโปรแกรมบน Windows ที่ใช้งาน GUI จึงมักมีการใช้งานโค้ดวนลูปเพื่อรอรับคำสั่งจากผู้ใช้) เพื่อดักจับรูปแบบของ URL ที่ต้องการ เช่น HTTPS หรือ ชื่อของธนาคารที่สนใจ เนื่องจาก Browser ก็เป็นหนึ่งแอปพลิเคชันที่มี GUI เหมือนกัน

BackSwap ได้เลือกใช้เทคนิคการปลอมแปลงการกดคีย์อย่างใดอย่างหนึ่งตามด้านล่างเพื่อทำให้เนื้อหาที่โหลดมานั้นเป็นไปตามที่ต้องการ

• มัลแวร์ใช้ Developer Console ของ Browser อย่างผิดวัตถุประสงค์

1.ใส่ Script อันตรายไว้ใน Clipboard
2.ทำให้หน้าต่างของ Browser มองไม่เห็น
3.ปลอมแปลงการกดคีย์เพื่อเปิด Browser Console ในโหมด Developer (ใน Chrome ใช้ CTRL+SHIFT+J, ใน Firefox ใช้ CTRL+SHIFT+K)
4.ปลอมแปลงการกดคีย์ Copy (CTRL+V) เพื่อแปะเนื้อหาของ Clipboard ไว้ใน Developer Console
5.ปลอมแปลงการกดคีย์ Enter เพื่อเริ่มต้นการทำงานโค้ดอันตราย
6.โค้ดอันตรายเข้าไปแก้ไขเนื้อหาหน้า Portal ของธุรกรรมการเงินนั้นเพื่อควบคุมให้ผู้ใช้เห็นตามที่แฮ็กเกอร์ต้องการ
7.ปลอมแปลงการกดคีย์เพื่อปิดหน้าต่าง Browser Console โหมด Developer
8.ทำให้หน้าต่างของ Browser มองเห็นได้อีกครั้งหนึ่ง

ดูแล้วเหมือนหลายขั้นตอนแต่พอทำงานด้วยโค้ดอัตโนมัติสิ่งเหล่านี้จะเกิดขึ้นไวมาก ดังนั้นผู้ใช้งานส่วนใหญ่อาจจะไม่ทันสังเกตถึงความผิิดปกติเลยและไม่สามารถแยกแยะว่าเป็น Browser ปกติหรือเป็นแค่อาการหยุดชะงักเท่านั้น

• มัลแวร์ใช้โปรโตคอล JavaScript ผ่าน Address Bar ด้วย

1.มัลแวร์จำลองการกดคีย์ CTRL + L เพื่อเลือกที่ Address Bar ของ Browser
2.จำลองกดคีย์ DELETE เพื่อเคลียร์ค่าใน URL
3.พิมพ์ “javascript:” ใน Address bar แต่พิมพ์ทีละตัวเพื่อหลีกเลี่ยงการป้องกัน XSS ของ Browser
4.แปะโค้ดอันตรายต่อหลัง “javascript:”
5.จำลองการกดคีย์เพื่อ Execute code
6.เคลียร์ค่าใน Address Bar เพื่อกลบเกลื่อนร่องรอย

ESET กล่าวว่าการโจมตีนี้รองรับกับ Browser อย่าง Chrome, Firefox และ IE แต่ถ้าปรับเปลี่ยนนิดหน่อยก็น่าจะใช้ได้กับทุก Browser สมัยใหม่ที่รองรับ Console Developer และ โปรโตคอล “javascript:” อย่างไรก็ตามรายงานพบว่ากลุ่มเป้าหมายของ BackSwap ยังจำกัดอยู่ในธนาคารแถบโปแลนด์เท่านั้น โดยทาง ESET แจ้งผู้เกี่ยวข้องเพื่อแก้ไขแล้ว ดังนั้นต้องคอยจับตาดูสถานการณ์ของเทคนิคต้นแบบนี้ต่อไป ผู้สนใจสามารถดูรายงานของ ESET ได้ที่นี่

ที่มา : https://www.bleepingcomputer.com/news/security/backswap-banking-trojan-uses-never-before-seen-techniques/