TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Barkly Research ออกมาเปิดเผยถึงเวอร์ชันใหม่ของมัลแวร์ Click-ad-fraud Kovter ซึ่งมาในรูปของอัปเดตบน Firefox ซึ่งไม่จำเป็นต้องฝังตัวอยู่ในไฟล์รอให้เหยื่อมาดาวน์โหลดอีกต่อไป รวมทั้งมีการใช้ Certificate อย่างถูกต้อง ส่งผลให้สามารถหลบหลีกการตรวจจับจากโปรแกรม Antivirus ได้
มัลแวร์ Kovter เวอร์ชันใหม่นี้ถูกค้นพบเมื่อสัปดาห์ก่อน แพร่กระจายตัวผ่านทาง Drive-by Download หรือก็คือการเผลอเข้าเว็บไซต์อันตรายแล้วโหลดมัลแวร์มาติดตั้ง ซึ่ง Kovter อยู่ในรูปของอัปเดตของ Firefox ที่เหยื่อสามารถกดอัปเดตได้เลยโดยไม่ต้องดาวน์โหลดไฟล์เข้ามาไว้บนเครื่อง นอกจากนี้ Kovter ยังมีการใช้ Certificate ที่ออกโดย Comodo อย่างถูกต้อง ส่งผลให้ Endpoint Protection และ Antivirus บางประเภทปล่อยผ่านเข้ามาทำอันตรายเครื่องคอมพิวเตอร์ได้
Barkly Research ได้แจ้งเรื่องมัลแวร์ Kovter นี้แก่ทางบริษัท Antivirus หลายเจ้า ซึ่งส่วนใหญ่สามารถป้องกันได้เป็นที่เรียบร้อย รวมทั้งแจ้งเรื่องไปยัง Comodo ซึ่งคาดว่าจะทำการถอดถอน Certificate คืนเร็วๆ นี้
รายละเอียดเพิ่มเติม: https://blog.barkly.com/fileless-malware-kovter-posing-as-firefox-update
ที่มา: https://www.helpnetsecurity.com/2016/07/08/kovter-malware-masquerades-firefox/
