Ransomware แคมเปญใหม่ แฝงตัวมากับ Resume พร้อมเข้ารหัส 2 ชั้น

Sophos ผู้ให้บริการโซลูชันด้านความปลอดภัยครบวงจรชื่อดังจากสหราชอาณาจักร ออกมาเปิดเผยถึง Ransomware แคมเปญใหม่ในประเทศเยอรมนี ที่แฝงตัวมากับ Resume สมัครงาน ที่น่าสนใจคือ แฮ็คเกอร์ให้เทคนิค Social Engineering แบบง่ายๆ เพื่อหลอกให้เหยื่อ HR เปิดไฟล์ที่แนบมาแบบไม่ทันระวัง

Ransomware ดังกล่าวมีชื่อว่า Goldeneye ซึ่งแฝงตัวมากับไฟล์แนบ Resume จำนวน 2 ไฟล์ ไฟล์แรกเป็นไฟล์ PDF ซึ่งเป็นจดหมายแนะนำตัว และอีกไฟล์เป็นไฟล์ XLS ซึ่งเป็น Resume และผลทดสอบ Aptitude Test โดยปกติแล้ว เราจะเห็นมัลแวร์แฝงตัวมากับไฟล์ MS Word ผ่านทาง Macro เช่นเดียวกัน Ransomware ก็แฝงมากับไฟล์ MS Excel ผ่านทาง VBA Macro แต่ไฟล์ PDF กลับเป็นจดหมายแนะนำตัวปกติที่ไม่มีมัลแวร์ใดๆ เพื่อหลอกให้ HR ตายใจ ภาพด้านล่างแสดงไฟล์ PDF ซึ่งมีการเซ็นเซอร์เนื่องจากคาดว่าเป็นจดหมายแนะนำตัวที่แฮ็คเกอร์ขโมยมาจากอินเทอร์เน็ต

ภายในจดหมายแนะนำตัวจะระบุว่า เอกสารที่แนบมาประกอบด้วย References, Resume และ Aptitude Test ซึ่งสามารถเปิดดูได้ที่ไฟล์ Excel เมื่อ HR เปิดไฟล์ PDF เห็นว่าเป็นไฟล์ปกติ ไม่มีมัลแวร์ จึงเป็นไปได้ที่จะเปิดไฟล์​ XLS ต่อโดยไม่ทันระวัง หรืออาจเก็บ Resume ไว้ก่อน เผื่อในอนาคตต้องการคนเพิ่มก็สามารถย้อนกลับมาเปิดดูได้

เมื่อ HR เผลอเปิดไฟล์ XLS จะเป็นหน้าว่างเปล่า ไม่มีข้อมูลใดแสดง แต่จะมีข้อความแนะนำว่า ให้เลือก Editing เพื่อแสดงผลทดสอบ Aptitude Test (ดังภาพด้านล่าง) ซึ่งตรงนี้เองแสดงให้เห็นถึงประสบการณ์ของแฮ็คเกอร์ที่ไม่ใช้คำว่าให้ “Enable Macros” หรือ “Turn off the default security configuration” เพื่อให้เหยื่อไหวตัวทัน แต่พยายามหลอกล่อให้เหยื่อเปลี่ยนแปลงการตั้งค่าบน MS Excel เพื่อดูข้อมูลแทน ซึ่งเมื่อเหยื่อเผลอกดรัน Macro แล้ว จะทำให้ VBA ดาวน์โหลด Goldeneye Ransomware มาติดตั้งบนเครื่อง พร้อมรันการทำงานเพื่อเข้ารหัสไฟล์ทันที

นอกจากเข้ารหัสไฟล์ข้อมูลบนเครื่องของเหยื่อแล้ว Goldeneye ยังรันโมดูลที่ดัดแปลงมาจาก Petya Ransomware เพื่อเข้ารหัส Master File Table บนฮาร์ดดิสก์ เพื่อให้เหยื่อไม่สามารถบูตเข้าใช้งานระบบปฏิบัติการได้อีกชั้นหนึ่ง เรียกว่าเป็นการล็อกคอมพิวเตอร์ถึง 2 ชั้นเลยทีเดียว

Goldeneye Ransomware เรียกค่าไถ่เป็นเงินจำนวน 1.4 Bitcoins หรือประมาณ 36,000 บาท ซึ่งต่อให้เหยื่อปลดล็อก MFT แล้วบูตเข้าใช้ระบบปฏิบัติการได้แล้วก็ตาม เหยื่อก็ต้องเผชิญกับการเรียกค่าไถ่เพื่อปลดล็อกข้อมูลอีกชั้นหนึ่ง ส่งผลให้เหยื่อต้องจ่ายค่าไถ่ซ้ำแล้วซ้ำเล่า เป็นเงินรวมสูงถึง 72,000 บาท

ดังนั้น หนทางที่ดีที่สุดในการป้องกันปัญหาดังกล่าว คือ หมั่นสำรองข้อมูลสม่ำเสมอ และไม่ใช้งาน Macro บน MS Office โดยเด็ดขาด

ที่มา: https://nakedsecurity.sophos.com/2016/12/08/goldeneye-ransomware-the-resume-that-scrambles-your-computer-twice/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

10 สิ่ง ที่จะลดทอนความแรงสัญญาณ Wi-Fi ในบ้านของคุณ

ปัจจุบันมากกว่า 90% Wi-Fi เป็นปัจจัยที่ 5 สำหรับการอาคารสถานที่ และบ้านเรือน สัญญาณ Wi-Fi แรงๆ คือสิ่งที่ทุกคนปราถนา การหาซื้ออุปกรณ์เราเตอร์ระดับคุณภาพเป็นการแสวงหาคุณภาพของสัญญาณที่ดีที่สุด แต่ปัจจัยเพียงแค่อุปกรณ์ยังไม่เพียงพอสำหรับระบบนิเวศของบ้านเรือนที่มีความซับซ้อนแตกต่างกันมาก ความสวยงามของสถาปัตยกรรมภายในล้วนแต่แลกมาด้วยความซับซ้อนของโครงสร้างที่เสริมให้มีความคงทนถาวร การเลือกประเภทของวัสดุจึงมุ่งเน้นไปที่ความแข็งแรงเห็นหลัก …

ขอเชิญผู้สนใจเข้าร่วมงาน VSM365 | Softde’ but Webinar Ep.11 ในหัวข้อ “ มาทำความรู้จักระบบการป้องกันความปลอดภัย API และเพิ่มการรักษาความปลอดภัยขั้นสูง ของ Cloudflare ”

ขอเชิญผู้สนใจเข้าร่วมงาน VSM365 | Softde’ but Webinar Ep.11 “มาทำความรู้จักระบบการป้องกันความปลอดภัย  API และเพิ่มการรักษาความปลอดภัยขั้นสูง ของCloudflare” โดยงานจะจัดขึ้นในวันศุกร์ที่ 27 พฤษภาคม 2565 เวลา 10.00 …