Breaking News

พบ Banking Trojan ใช้เทคนิคใหม่หลบการตรวจของ Antivirus และ Browser

นักวิจัยจาก ESET ได้รายงานพบ Banking Trojan ที่มีการใช้เทคนิคใหม่เพื่อหลบเลี่ยงการตรวจจับของ Antivirus และการป้องกันด้านความมั่นคงปลอดภัยในระดับ Browser โดยให้ชื่อมัลแวร์ตัวนี้ว่า BackSwap นอกจากนี้คาดกันว่าเทคนิคใหม่ที่ไม่เคยพบเห็นมาก่อนนี้จะกลายเป็นต้นแบบการโจมตีให้แฮ็กเกอร์กลุ่มอื่นๆ ต่อไปในอนาคต

Credit: ShutterStock

เทคนิคของ Banking Trojan แบบเดิมๆ มี 2 วิธี

  • แก้ไข Local DNS และการตั้งค่าอินเทอร์เน็ตของผู้ใช้งาน โดยการดักจับการเรียกใช้งานไซต์ของธุรกรรมการเงินและทำการ Redirect ผู้ใช้ผ่าน Proxy ไปยังหน้าเว็บเลียนแบบหน้าธุรกรรมการเงินจริงเพื่อหลอกให้ใส่ Credentials
  • Inject โค้ดอันตรายเข้าไปยังโปรเซสของ Browser ซึ่งวิธีการนี้พักหลัง Banking Trojan ดังๆ หลายตัวนิยมมาก เช่น Dridex, Ursnif, Zbot, Trickbot, Qbot และอื่นๆ อย่างไรก็ตามบรรดา Browser หรือ Antivirus ทั้งหลายเริ่มรู้ทันจึงมีการปรับปรุงให้ทำได้ยากมาก จนอาจกลายเป็นสาเหตุที่คนร้ายย้ายไปโจมตีช่องทางอื่นแทน เช่น in-browser Miner, Ransomware หรืออื่นๆ

รายงานของ ESET ได้เผยถึงเทคนิคใหม่ 3 เทคนิคซึ่งต่างกับวิธีการเดิมๆ ดังนี้

  • เทคนิคที่ใช้ตรวจจับการเรียกใช้งานเว็บไซต์ด้านการเงิน

โทรจันตัวนี้ได้อาศัยกลไกของ Windows ปกติที่เรียกว่า ‘Message Loop‘ (เนื่องจากการเขียน GUI แบบ Windows เป็น Event Driven ที่มี Queue เพื่อเก็บข้อความของ Action Message ดังนั้นทางผู้เขียนโปรแกรมบน Windows ที่ใช้งาน GUI จึงมักมีการใช้งานโค้ดวนลูปเพื่อรอรับคำสั่งจากผู้ใช้) เพื่อดักจับรูปแบบของ URL ที่ต้องการ เช่น HTTPS หรือ ชื่อของธนาคารที่สนใจ เนื่องจาก Browser ก็เป็นหนึ่งแอปพลิเคชันที่มี GUI เหมือนกัน

BackSwap ได้เลือกใช้เทคนิคการปลอมแปลงการกดคีย์อย่างใดอย่างหนึ่งตามด้านล่างเพื่อทำให้เนื้อหาที่โหลดมานั้นเป็นไปตามที่ต้องการ

  • มัลแวร์ใช้ Developer Console ของ Browser อย่างผิดวัตถุประสงค์

1.ใส่ Script อันตรายไว้ใน Clipboard
2.ทำให้หน้าต่างของ Browser มองไม่เห็น
3.ปลอมแปลงการกดคีย์เพื่อเปิด Browser Console ในโหมด Developer (ใน Chrome ใช้ CTRL+SHIFT+J, ใน Firefox ใช้ CTRL+SHIFT+K)
4.ปลอมแปลงการกดคีย์ Copy (CTRL+V) เพื่อแปะเนื้อหาของ Clipboard ไว้ใน Developer Console
5.ปลอมแปลงการกดคีย์ Enter เพื่อเริ่มต้นการทำงานโค้ดอันตราย
6.โค้ดอันตรายเข้าไปแก้ไขเนื้อหาหน้า Portal ของธุรกรรมการเงินนั้นเพื่อควบคุมให้ผู้ใช้เห็นตามที่แฮ็กเกอร์ต้องการ
7.ปลอมแปลงการกดคีย์เพื่อปิดหน้าต่าง Browser Console โหมด Developer
8.ทำให้หน้าต่างของ Browser มองเห็นได้อีกครั้งหนึ่ง

ดูแล้วเหมือนหลายขั้นตอนแต่พอทำงานด้วยโค้ดอัตโนมัติสิ่งเหล่านี้จะเกิดขึ้นไวมาก ดังนั้นผู้ใช้งานส่วนใหญ่อาจจะไม่ทันสังเกตถึงความผิิดปกติเลยและไม่สามารถแยกแยะว่าเป็น Browser ปกติหรือเป็นแค่อาการหยุดชะงักเท่านั้น

  • มัลแวร์ใช้โปรโตคอล JavaScript ผ่าน Address Bar ด้วย

1.มัลแวร์จำลองการกดคีย์ CTRL + L เพื่อเลือกที่ Address Bar ของ Browser
2.จำลองกดคีย์ DELETE เพื่อเคลียร์ค่าใน URL
3.พิมพ์ “javascript:” ใน Address bar แต่พิมพ์ทีละตัวเพื่อหลีกเลี่ยงการป้องกัน XSS ของ Browser
4.แปะโค้ดอันตรายต่อหลัง “javascript:”
5.จำลองการกดคีย์เพื่อ Execute code
6.เคลียร์ค่าใน Address Bar เพื่อกลบเกลื่อนร่องรอย

ESET กล่าวว่าการโจมตีนี้รองรับกับ Browser อย่าง Chrome, Firefox และ IE แต่ถ้าปรับเปลี่ยนนิดหน่อยก็น่าจะใช้ได้กับทุก Browser สมัยใหม่ที่รองรับ Console Developer และ โปรโตคอล “javascript:” อย่างไรก็ตามรายงานพบว่ากลุ่มเป้าหมายของ BackSwap ยังจำกัดอยู่ในธนาคารแถบโปแลนด์เท่านั้น โดยทาง ESET แจ้งผู้เกี่ยวข้องเพื่อแก้ไขแล้ว ดังนั้นต้องคอยจับตาดูสถานการณ์ของเทคนิคต้นแบบนี้ต่อไป ผู้สนใจสามารถดูรายงานของ ESET ได้ที่นี่

ที่มา : https://www.bleepingcomputer.com/news/security/backswap-banking-trojan-uses-never-before-seen-techniques/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Apple จับมือ Google พัฒนาระบบแจ้งเตือนความเสี่ยง COVID-19 บน iPhone และ Android

เพื่อรับมือกับ COVID-19 ที่กำลังแพร่ระบาดทั่วโลกในเวลานี้ Apple จึงได้จับมือกับ Google เพื่อพัฒนาให้ Smartphone ของตนเองนั้นสามารถแจ้งเตือนผู้ใช้งานได้หากผู้ใช้งานคนนั้นเคยมีประวัติเข้าใกล้ผู้ที่ติด COVID-19

TechTalk Webinar: Digital Workforce: The game changer now and COVID afterward โดย STelligence

TechTalkThai ขอเรียนเชิญ CIO, CTO, COO, IT Manager, ผู้จัดการในส่วนต่างๆ ของธุรกิจ, ผู้ดูแลระบบ IT, และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "Digital Workforce: The game changer now and COVID afterward โดย STelligence" เพื่อร่วมรับฟังถึงทิศทางในอนาคตของโลกธุรกิจจากการมาของ Digital Workforce ที่จะเปลี่ยนวิธีการทำงานไปอย่างสิ้นเชิง พร้อมแนะนำเทคโนโลยีที่เกี่ยวข้อง ในวันศุกร์ที่ 17 เมษายน 2020 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้