เตือน Keylogger แฝงมากับไดรฟ์เวอร์เสียงบนโน๊ตบุ๊ค HP หลายรุ่น

Modzero บริษัทด้านความมั่นคงปลอดภัยจากสวิตเซอร์แลนด์ออกมาแจ้งเตือนถึงโปรแกรมที่ทำตัวเหมือน KeyLogger ซึ่งถูกติดตั้งมาพร้อมกับไดรฟ์เวอร์เสียงบนโน๊ตบุ๊ค HP หลายรุ่น เสี่ยงผู้ใช้ถูกดักอ่านข้อความที่พิมพ์ เช่น รหัสผ่าน หรือข้อความแชท

โปรแกรม KeyLogger ที่ Modzero พบนี้ ปรากฏบน Conexant HD Audio Driver Package เวอร์ชัน 1.0.0.46 หรือก่อนหน้านั้น ซึ่งเป็นไดรฟ์เวอร์เสียงที่ HP ติดตั้งให้กับลูกค้าจากโรงงานตั้งแต่แรก โดยโปรแกรมที่เป็นปัญหาคือ MicTray64.exe (C:\windows\system32\mictray64.exe)

อันที่จริง โปรแกรมดังกล่าวไม่ได้ตั้งใจออกแบบมาให้เป็น KeyLogger เพื่อขโมยข้อมูลแต่อย่างใด แต่ถูกออกแบบมาให้คอยติดตามการพิมพ์ของผู้ใช้ เพื่อตอบสนองการทำงานบางอย่าง เช่น เปิด/ปิดไมโครโฟนผ่านคีย์บอร์ด เป็นต้น และ MicTray64.exe ถูกลงทะเบียนให้เริ่มใช้งานผ่านทาง Scheduled Task ทุกครั้งที่ผู้ใช้ล็อกอินเข้าเครื่องคอมพิวเตอร์ การทำงานแบบนี้ไม่ใช่เรื่องแปลกแต่อย่างใด เนื่องจากไดรฟ์เวอร์ทั่วไปที่ใช้กันอยู่ในปัจจุบันต่างมีลักษณะแบบนี้ทั้งสิ้น อย่างไรก็ตาม ปัญหาของ MicTray64.exe คือ มีการบันทึกข้อมูลการพิมพ์ของผู้ใช้ลงบนไฟล์ด้วยที่ C:\users\public\MicTray.log

นั่นหมายความว่า แฮ็คเกอร์หรือผู้ใช้คนอื่นสามารถเข้าถึงเครื่องเพื่อคัดลอกไฟล์ดังกล่าว แล้วนำข้อมูลการพิมพ์ย้อนหลังไปวิเคราะห์เพื่อค้นหารหัสผ่าน บันทึกแชต URL ที่เคยเข้า ซอร์สโค้ด หรือข้อมูลความลับอื่นๆ ได้ทันที นอกจากนี้ ถ้าเกิดไฟล์มีปัญหา หรือค้นหาไฟล์ไม่เจอ ข้อมูลการพิมพ์ทั้งหมดจะถูกส่งผ่าน Local API ที่ชื่อว่า OutputDebugString API ซึ่งเรียกได้ว่าเป็นช่องทางลับให้มัลแวร์สามารถบันทึกสิ่งที่ผู้ใช้พิมพ์ได้แบบเรียลไทม์ โดยที่ซอฟต์แวร์ Antivirus ไม่สามารถตรวจสอบได้

Modzero ระบุว่า พบ Conexant HD Audio Driver Package ถูกติดตั้งจากโรงงานบนโน๊ตบุ๊ค HP ทั้งหมด 28 รุ่น ดังที่เห็นในรายการด้านล่าง โน๊ตบุ๊คยี่ห้ออื่นๆ ที่ใช้ไดรฟ์เวอร์ดังกล่าวก็ตกอยู่ในความเสี่ยงด้วยเช่นกัน

  • HP EliteBook 820 G3 Notebook PC
  • HP EliteBook 828 G3 Notebook PC
  • HP EliteBook 840 G3 Notebook PC
  • HP EliteBook 848 G3 Notebook PC
  • HP EliteBook 850 G3 Notebook PC
  • HP ProBook 640 G2 Notebook PC
  • HP ProBook 650 G2 Notebook PC
  • HP ProBook 645 G2 Notebook PC
  • HP ProBook 655 G2 Notebook PC
  • HP ProBook 450 G3 Notebook PC
  • HP ProBook 430 G3 Notebook PC
  • HP ProBook 440 G3 Notebook PC
  • HP ProBook 446 G3 Notebook PC
  • HP ProBook 470 G3 Notebook PC
  • HP ProBook 455 G3 Notebook PC
  • HP EliteBook 725 G3 Notebook PC
  • HP EliteBook 745 G3 Notebook PC
  • HP EliteBook 755 G3 Notebook PC
  • HP EliteBook 1030 G1 Notebook PC
  • HP ZBook 15u G3 Mobile Workstation
  • HP Elite x2 1012 G1 Tablet
  • HP Elite x2 1012 G1 with Travel Keyboard
  • HP Elite x2 1012 G1 Advanced Keyboard
  • HP EliteBook Folio 1040 G3 Notebook PC
  • HP ZBook 17 G3 Mobile Workstation
  • HP ZBook 15 G3 Mobile Workstation
  • HP ZBook Studio G3 Mobile Workstation
  • HP EliteBook Folio G1 Notebook PC

Modzero ค้นพบปัญหานี้ตั้งแต่วันที่ 28 เมษายนที่ผ่านมา แต่จนถึงตอนนี้ทาง HP ยังไม่ได้ออกมาชี้แจงประเด็นดังกล่าวแต่อย่างใด แนะนำให้ผู้ใช้ลบไฟล์ MicTray64.exe ออกไปก่อนชั่วคราว เพื่อป้องกันการดักฟังข้อมูล

ที่มา: https://www.bleepingcomputer.com/news/security/keylogger-found-in-audio-driver-of-hp-laptops/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พบช่องโหว่ใน Kubernetes ที่อาจถูกใช้ยึดควบคุม Windows Node

พบช่องโหว่ใน Kubernetes ที่อาจถูกใช้ยึดควบคุม Windows Node ทั้งหมดในคลัสเตอร์

SonicWall เตือนช่องโหว่ Zero-day ใน SMA 1000 ให้ผู้ใช้อัปเดตด่วน!

พบการโจมตีในโซลูชัน SonicWall SMA 1000 Appliance Management Console (AMC) และ Central Management Console (CMC) ที่เป็นโซลูชันสำหรับรวมศูนย์การบริหารจัดการ โดยช่องโหว่มีความร้ายแรงที่ …