พบ Banking Trojan ใช้เทคนิคใหม่หลบการตรวจของ Antivirus และ Browser

นักวิจัยจาก ESET ได้รายงานพบ Banking Trojan ที่มีการใช้เทคนิคใหม่เพื่อหลบเลี่ยงการตรวจจับของ Antivirus และการป้องกันด้านความมั่นคงปลอดภัยในระดับ Browser โดยให้ชื่อมัลแวร์ตัวนี้ว่า BackSwap นอกจากนี้คาดกันว่าเทคนิคใหม่ที่ไม่เคยพบเห็นมาก่อนนี้จะกลายเป็นต้นแบบการโจมตีให้แฮ็กเกอร์กลุ่มอื่นๆ ต่อไปในอนาคต

Credit: ShutterStock

เทคนิคของ Banking Trojan แบบเดิมๆ มี 2 วิธี

  • แก้ไข Local DNS และการตั้งค่าอินเทอร์เน็ตของผู้ใช้งาน โดยการดักจับการเรียกใช้งานไซต์ของธุรกรรมการเงินและทำการ Redirect ผู้ใช้ผ่าน Proxy ไปยังหน้าเว็บเลียนแบบหน้าธุรกรรมการเงินจริงเพื่อหลอกให้ใส่ Credentials
  • Inject โค้ดอันตรายเข้าไปยังโปรเซสของ Browser ซึ่งวิธีการนี้พักหลัง Banking Trojan ดังๆ หลายตัวนิยมมาก เช่น Dridex, Ursnif, Zbot, Trickbot, Qbot และอื่นๆ อย่างไรก็ตามบรรดา Browser หรือ Antivirus ทั้งหลายเริ่มรู้ทันจึงมีการปรับปรุงให้ทำได้ยากมาก จนอาจกลายเป็นสาเหตุที่คนร้ายย้ายไปโจมตีช่องทางอื่นแทน เช่น in-browser Miner, Ransomware หรืออื่นๆ

รายงานของ ESET ได้เผยถึงเทคนิคใหม่ 3 เทคนิคซึ่งต่างกับวิธีการเดิมๆ ดังนี้

  • เทคนิคที่ใช้ตรวจจับการเรียกใช้งานเว็บไซต์ด้านการเงิน

โทรจันตัวนี้ได้อาศัยกลไกของ Windows ปกติที่เรียกว่า ‘Message Loop‘ (เนื่องจากการเขียน GUI แบบ Windows เป็น Event Driven ที่มี Queue เพื่อเก็บข้อความของ Action Message ดังนั้นทางผู้เขียนโปรแกรมบน Windows ที่ใช้งาน GUI จึงมักมีการใช้งานโค้ดวนลูปเพื่อรอรับคำสั่งจากผู้ใช้) เพื่อดักจับรูปแบบของ URL ที่ต้องการ เช่น HTTPS หรือ ชื่อของธนาคารที่สนใจ เนื่องจาก Browser ก็เป็นหนึ่งแอปพลิเคชันที่มี GUI เหมือนกัน

BackSwap ได้เลือกใช้เทคนิคการปลอมแปลงการกดคีย์อย่างใดอย่างหนึ่งตามด้านล่างเพื่อทำให้เนื้อหาที่โหลดมานั้นเป็นไปตามที่ต้องการ

  • มัลแวร์ใช้ Developer Console ของ Browser อย่างผิดวัตถุประสงค์

1.ใส่ Script อันตรายไว้ใน Clipboard
2.ทำให้หน้าต่างของ Browser มองไม่เห็น
3.ปลอมแปลงการกดคีย์เพื่อเปิด Browser Console ในโหมด Developer (ใน Chrome ใช้ CTRL+SHIFT+J, ใน Firefox ใช้ CTRL+SHIFT+K)
4.ปลอมแปลงการกดคีย์ Copy (CTRL+V) เพื่อแปะเนื้อหาของ Clipboard ไว้ใน Developer Console
5.ปลอมแปลงการกดคีย์ Enter เพื่อเริ่มต้นการทำงานโค้ดอันตราย
6.โค้ดอันตรายเข้าไปแก้ไขเนื้อหาหน้า Portal ของธุรกรรมการเงินนั้นเพื่อควบคุมให้ผู้ใช้เห็นตามที่แฮ็กเกอร์ต้องการ
7.ปลอมแปลงการกดคีย์เพื่อปิดหน้าต่าง Browser Console โหมด Developer
8.ทำให้หน้าต่างของ Browser มองเห็นได้อีกครั้งหนึ่ง

ดูแล้วเหมือนหลายขั้นตอนแต่พอทำงานด้วยโค้ดอัตโนมัติสิ่งเหล่านี้จะเกิดขึ้นไวมาก ดังนั้นผู้ใช้งานส่วนใหญ่อาจจะไม่ทันสังเกตถึงความผิิดปกติเลยและไม่สามารถแยกแยะว่าเป็น Browser ปกติหรือเป็นแค่อาการหยุดชะงักเท่านั้น

  • มัลแวร์ใช้โปรโตคอล JavaScript ผ่าน Address Bar ด้วย

1.มัลแวร์จำลองการกดคีย์ CTRL + L เพื่อเลือกที่ Address Bar ของ Browser
2.จำลองกดคีย์ DELETE เพื่อเคลียร์ค่าใน URL
3.พิมพ์ “javascript:” ใน Address bar แต่พิมพ์ทีละตัวเพื่อหลีกเลี่ยงการป้องกัน XSS ของ Browser
4.แปะโค้ดอันตรายต่อหลัง “javascript:”
5.จำลองการกดคีย์เพื่อ Execute code
6.เคลียร์ค่าใน Address Bar เพื่อกลบเกลื่อนร่องรอย

ESET กล่าวว่าการโจมตีนี้รองรับกับ Browser อย่าง Chrome, Firefox และ IE แต่ถ้าปรับเปลี่ยนนิดหน่อยก็น่าจะใช้ได้กับทุก Browser สมัยใหม่ที่รองรับ Console Developer และ โปรโตคอล “javascript:” อย่างไรก็ตามรายงานพบว่ากลุ่มเป้าหมายของ BackSwap ยังจำกัดอยู่ในธนาคารแถบโปแลนด์เท่านั้น โดยทาง ESET แจ้งผู้เกี่ยวข้องเพื่อแก้ไขแล้ว ดังนั้นต้องคอยจับตาดูสถานการณ์ของเทคนิคต้นแบบนี้ต่อไป ผู้สนใจสามารถดูรายงานของ ESET ได้ที่นี่

ที่มา : https://www.bleepingcomputer.com/news/security/backswap-banking-trojan-uses-never-before-seen-techniques/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

รู้จัก Zero-Touch และ One-Touch Provisioning สองสิ่งที่ทำให้ Aruba SD-Branch ติดตั้งใช้งานได้ง่าย

จุดเด่นหนึ่งของโซลูชัน SD-WAN ที่เป็นสากลนั้นก็คือความง่ายดายในการติดตั้งใช้งาน เพื่อให้การขึ้นระบบ SD-WAN ที่มักกระจายอยู่หลายสาขาในพื้นที่ที่ห่างไกลกันและกันนั้นเป็นไปได้อย่างรวดเร็ว และไม่ต้องอาศัยผู้ที่มีความรู้เชิงเทคนิคในการติดตั้งอุปกรณ์ที่แต่ละสาขา ซึ่ง Aruba SD-Branch ที่ครอบคลุมความสามารถ SD-WAN เองก็สามารถตอบโจทย์เรื่องความง่ายดายนี้ได้ด้วยสองเทคนิคที่มีชื่อว่า Zero-Touch Provisioning (ZTP) และ One-Touch Provisioning (OTP) นั่นเอง

Facebook เผยเริ่มใช้ QUIC และ HTTP/3 กับผู้ใช้งานทั่วโลกกว่า 75% แล้ว

Facebook ได้ออกมาเขียน Technical Blog ถึงการเปลี่ยนการเชื่อมต่อจากผู้ใช้งาน Facebook ให้กลายเป็น QUIC และ HTTP/3 สำเร็จไปแล้วกว่า 75% ของทราฟฟิกที่เชื่อมต่อเข้ามายัง Facebook ทั้งหมดในเวลานี้ และพบว่า QUIC สามารถช่วยให้ประสบการณ์ของผู้ใช้งานดีขึ้นได้เป็นอย่างมาก