พบมัลแวร์ใช้เข้าการรหัสแบบเก่าของ Excel หลบเลี่ยงการตรวจจับ

ผู้เชี่ยวชาญจาก Mimecast ได้ออกมาเตือนถึงการพบโทรจัน LimeRAT ที่ได้ใช้การเข้ารหัสใน Excel เวอร์ชันเก่ามาใช้ใหม่เพื่อหลบเลี่ยงการตรวจจับ

LimeRAT เป็นโทรจันที่ถูกพบมาตั้งแต่ปี 2013 แล้ว ซึ่งคนร้ายได้คิดวิธีการหลบเลี่ยงการตรวจจับโดยอาศัยการเข้ารหัสใน Excel เวอร์ชันเก่า ไอเดียคือเราจะคิดว่าไฟล์ Excel ที่เข้ารหัสจะต้องใส่รหัสเพื่อเปิดไฟล์ก่อน แต่อันที่จริงแล้วมีการ Hardcode รหัสผ่าน ‘VelvetSweatshop‘ ใน Excel เวอร์ชันเก่าซึ่ง Excel ยังรองรับอยู่ (ข้อมูลจากในลิงก์ปี 2018) ทั้งนี้นักวิจัยจาก Mimecast พบว่าคนร้ายได้นำไปใช้กับมัลแวร์ LimeRAT เพื่อให้ตอนเปิดไฟล์ไม่ติดรหัสผ่าน ประกอบกับเมื่อเป็นไฟล์ประเภท Read-only ตัว Excel จะถอดรหัสผ่านให้อัตโนมัติ  ขอเพียงแค่เหยื่อคลิกเปิดไฟล์เท่านั้น

อย่างไรก็ดีนักวิจัยยังพบฟีเจอร์อื่นๆ ของโทรจัน เช่น การแพร่ผ่านไดร์ฟ USB, ตรวจว่าอยู่ใน VM หรือไม่เพื่อไม่ให้ Reverse Engineering ได้โดยง่าย, ล็อกหน้าจอ และลอบขโมยข้อมูลเพื่อส่งไปกลับไปยังเซิร์ฟเวอร์ควบคุมเป็นต้น ทั้งนี้ไม่ว่าจะประดิษฐ์การโจมตีอย่างไรแต่ทางที่คนร้ายใช้ส่งไฟล์หาเหยื่อก็คืออีเมลนั่นเอง

ที่มา :  https://www.zdnet.com/article/limerat-malware-is-being-spread-through-velvetsweatshop-excel-encryption-technique/ และ  https://redmondmag.com/articles/2020/03/31/attackers-using-excel-read-only-files.aspx