Ransomware แคมเปญใหม่ แฝงตัวมากับ Resume พร้อมเข้ารหัส 2 ชั้น

Sophos ผู้ให้บริการโซลูชันด้านความปลอดภัยครบวงจรชื่อดังจากสหราชอาณาจักร ออกมาเปิดเผยถึง Ransomware แคมเปญใหม่ในประเทศเยอรมนี ที่แฝงตัวมากับ Resume สมัครงาน ที่น่าสนใจคือ แฮ็คเกอร์ให้เทคนิค Social Engineering แบบง่ายๆ เพื่อหลอกให้เหยื่อ HR เปิดไฟล์ที่แนบมาแบบไม่ทันระวัง

Ransomware ดังกล่าวมีชื่อว่า Goldeneye ซึ่งแฝงตัวมากับไฟล์แนบ Resume จำนวน 2 ไฟล์ ไฟล์แรกเป็นไฟล์ PDF ซึ่งเป็นจดหมายแนะนำตัว และอีกไฟล์เป็นไฟล์ XLS ซึ่งเป็น Resume และผลทดสอบ Aptitude Test โดยปกติแล้ว เราจะเห็นมัลแวร์แฝงตัวมากับไฟล์ MS Word ผ่านทาง Macro เช่นเดียวกัน Ransomware ก็แฝงมากับไฟล์ MS Excel ผ่านทาง VBA Macro แต่ไฟล์ PDF กลับเป็นจดหมายแนะนำตัวปกติที่ไม่มีมัลแวร์ใดๆ เพื่อหลอกให้ HR ตายใจ ภาพด้านล่างแสดงไฟล์ PDF ซึ่งมีการเซ็นเซอร์เนื่องจากคาดว่าเป็นจดหมายแนะนำตัวที่แฮ็คเกอร์ขโมยมาจากอินเทอร์เน็ต

ภายในจดหมายแนะนำตัวจะระบุว่า เอกสารที่แนบมาประกอบด้วย References, Resume และ Aptitude Test ซึ่งสามารถเปิดดูได้ที่ไฟล์ Excel เมื่อ HR เปิดไฟล์ PDF เห็นว่าเป็นไฟล์ปกติ ไม่มีมัลแวร์ จึงเป็นไปได้ที่จะเปิดไฟล์​ XLS ต่อโดยไม่ทันระวัง หรืออาจเก็บ Resume ไว้ก่อน เผื่อในอนาคตต้องการคนเพิ่มก็สามารถย้อนกลับมาเปิดดูได้

เมื่อ HR เผลอเปิดไฟล์ XLS จะเป็นหน้าว่างเปล่า ไม่มีข้อมูลใดแสดง แต่จะมีข้อความแนะนำว่า ให้เลือก Editing เพื่อแสดงผลทดสอบ Aptitude Test (ดังภาพด้านล่าง) ซึ่งตรงนี้เองแสดงให้เห็นถึงประสบการณ์ของแฮ็คเกอร์ที่ไม่ใช้คำว่าให้ “Enable Macros” หรือ “Turn off the default security configuration” เพื่อให้เหยื่อไหวตัวทัน แต่พยายามหลอกล่อให้เหยื่อเปลี่ยนแปลงการตั้งค่าบน MS Excel เพื่อดูข้อมูลแทน ซึ่งเมื่อเหยื่อเผลอกดรัน Macro แล้ว จะทำให้ VBA ดาวน์โหลด Goldeneye Ransomware มาติดตั้งบนเครื่อง พร้อมรันการทำงานเพื่อเข้ารหัสไฟล์ทันที

นอกจากเข้ารหัสไฟล์ข้อมูลบนเครื่องของเหยื่อแล้ว Goldeneye ยังรันโมดูลที่ดัดแปลงมาจาก Petya Ransomware เพื่อเข้ารหัส Master File Table บนฮาร์ดดิสก์ เพื่อให้เหยื่อไม่สามารถบูตเข้าใช้งานระบบปฏิบัติการได้อีกชั้นหนึ่ง เรียกว่าเป็นการล็อกคอมพิวเตอร์ถึง 2 ชั้นเลยทีเดียว

Goldeneye Ransomware เรียกค่าไถ่เป็นเงินจำนวน 1.4 Bitcoins หรือประมาณ 36,000 บาท ซึ่งต่อให้เหยื่อปลดล็อก MFT แล้วบูตเข้าใช้ระบบปฏิบัติการได้แล้วก็ตาม เหยื่อก็ต้องเผชิญกับการเรียกค่าไถ่เพื่อปลดล็อกข้อมูลอีกชั้นหนึ่ง ส่งผลให้เหยื่อต้องจ่ายค่าไถ่ซ้ำแล้วซ้ำเล่า เป็นเงินรวมสูงถึง 72,000 บาท

ดังนั้น หนทางที่ดีที่สุดในการป้องกันปัญหาดังกล่าว คือ หมั่นสำรองข้อมูลสม่ำเสมอ และไม่ใช้งาน Macro บน MS Office โดยเด็ดขาด

ที่มา: https://nakedsecurity.sophos.com/2016/12/08/goldeneye-ransomware-the-resume-that-scrambles-your-computer-twice/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[รีวิว] Plantronics Voyager 5200 UC สุดยอดหูฟัง Bluetooth สำหรับการโทรศัพท์และประชุมงานจาก Poly

ในช่วงที่ต้อง Work from Home กันท่ามกลางสถานการณ์วิกฤตโรคระบาดครั้งนี้ ทางทีมงาน Poly ก็ได้ส่งหูฟังรุ่นเรือธงสำหรับคนทำงานอย่าง Plantronics Voyager 5200 UC มาให้ทีมงาน TechTalkThai เราได้ทดลองใช้งานกัน ซึ่งก็ถือว่าค่อนข้างประทับใจทีเดียวครับสำหรับการทดสอบการใช้งานในครั้งนี้ จึงขอหยิบมารีวิวกันอย่างละเอียด เผื่อว่าธุรกิจองค์กรแห่งใดที่กำลังวางแผนการทำ Hybrid Work อย่างเต็มตัวจะได้ลองซื้อไปให้พนักงานในบริษัทได้ใช้งานกันครับ

ไมโครซอฟท์แนะนำขั้นตอนเดียวสุดง่ายแต่ช่วยลดความเสี่ยงถูกแฮ็กบัญชีได้ถึง 99.9%

เหตุการณ์ระบาดของ COVID-19 ทั่วโลกได้ส่งผลกระทบในแง่ของระบบรักษาความปลอดภัยด้วยเช่นกัน ซึ่งเราได้พบว่าเหล่าแฮ็กเกอร์ก็อาศัยเหตุการณ์นี้สร้างรูปแบบการโจมตีใหม่ๆ ขึ้นมา ด้วยการมุ่งเป้าไปที่พนักงานในองค์กร ยูสเซอร์ทั่วไป หรือคนที่ไม่ได้เชี่ยวชาญไอทีมากนัก ด้วยการใช้เทคนิคอย่าง Phishing, credential harvesting และ trojanized payloads …