Ingram SUSE

พบมัลแวร์ใช้เข้าการรหัสแบบเก่าของ Excel หลบเลี่ยงการตรวจจับ

ผู้เชี่ยวชาญจาก Mimecast ได้ออกมาเตือนถึงการพบโทรจัน LimeRAT ที่ได้ใช้การเข้ารหัสใน Excel เวอร์ชันเก่ามาใช้ใหม่เพื่อหลบเลี่ยงการตรวจจับ

LimeRAT เป็นโทรจันที่ถูกพบมาตั้งแต่ปี 2013 แล้ว ซึ่งคนร้ายได้คิดวิธีการหลบเลี่ยงการตรวจจับโดยอาศัยการเข้ารหัสใน Excel เวอร์ชันเก่า ไอเดียคือเราจะคิดว่าไฟล์ Excel ที่เข้ารหัสจะต้องใส่รหัสเพื่อเปิดไฟล์ก่อน แต่อันที่จริงแล้วมีการ Hardcode รหัสผ่าน ‘VelvetSweatshop‘ ใน Excel เวอร์ชันเก่าซึ่ง Excel ยังรองรับอยู่ (ข้อมูลจากในลิงก์ปี 2018) ทั้งนี้นักวิจัยจาก Mimecast พบว่าคนร้ายได้นำไปใช้กับมัลแวร์ LimeRAT เพื่อให้ตอนเปิดไฟล์ไม่ติดรหัสผ่าน ประกอบกับเมื่อเป็นไฟล์ประเภท Read-only ตัว Excel จะถอดรหัสผ่านให้อัตโนมัติ  ขอเพียงแค่เหยื่อคลิกเปิดไฟล์เท่านั้น

อย่างไรก็ดีนักวิจัยยังพบฟีเจอร์อื่นๆ ของโทรจัน เช่น การแพร่ผ่านไดร์ฟ USB, ตรวจว่าอยู่ใน VM หรือไม่เพื่อไม่ให้ Reverse Engineering ได้โดยง่าย, ล็อกหน้าจอ และลอบขโมยข้อมูลเพื่อส่งไปกลับไปยังเซิร์ฟเวอร์ควบคุมเป็นต้น ทั้งนี้ไม่ว่าจะประดิษฐ์การโจมตีอย่างไรแต่ทางที่คนร้ายใช้ส่งไฟล์หาเหยื่อก็คืออีเมลนั่นเอง

ที่มา :  https://www.zdnet.com/article/limerat-malware-is-being-spread-through-velvetsweatshop-excel-encryption-technique/ และ  https://redmondmag.com/articles/2020/03/31/attackers-using-excel-read-only-files.aspx

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

สรุปคำแนะนำและแนวทางปฏิบัติด้าน Password ล่าสุดจาก NIST

บทความนี้ได้สรุปคำแนะนำและแนวทางปฏิบัติด้าน Password จากเอกสาร NIST Special Publication 800-63B Rev3 ของ สถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐฯ หรือ NIST ได้แก่ การสร้างรหัสผ่านใหม่ การพิสูจน์ตัวตนด้วยรหัสผ่าน …

FBI จับกุมผู้ต้องหาวางแผนระเบิดดาต้าเซ็นเตอร์ของ AWS

ในสังคมอันกว้างใหญ่นี้มีอาชญากรมากมายเกิดขึ้นทุกวัน ทั้งจากโลกไซเบอร์เองหรือคนที่มีความคิดรุนแรงหวังสร้างความเสียทาง Physical ให้แก่โครงสร้างพื้นฐานทางไอที ล่าสุด FBI ก็ได้เข้าจับกุมชายรายหนึ่งที่วางแผนลอบวางระเบิดดาต้าเซ็นเตอร์ของ AWS เพราะหวังทำลายระบบอินเทอร์เน็ตส่งผลกระทบเป็นวงกว้าง