พบ Malware บน Skype ขโมยข้อความ Chat, เสียงพูดคุย, ภาพวิดีโอ และไฟล์ที่โอนระหว่างกัน เน้นโจมตีองค์กรโดยเฉพาะ

palo_alto_logo

นักวิจัยด้านความปลอดภัยจาก Palo Alto Networks ได้พบ Backdoor Malware สายพันธุ์ใหม่ชื่อ T9000 ต่อยอดมาจาก T5000 ที่มุ่งเน้นการโจมตีองค์กรต่างๆ ในสหรัฐอเมริกาเป็นหลัก แต่ความสามารถของ Malware นั้นกลับถูกออกแบบมาให้ใช้โจมตีผู้ใช้งานทั่วไปเป็นวงกว้างได้ด้วยเช่นกัน เพราะ T9000 นี้สามารถขโมยข้อมูลการสื่อสารทุกรูปแบบจาก Skype ได้อย่างครบถ้วน

T9000-1
Credit: http://researchcenter.paloaltonetworks.com/2016/02/t9000-advanced-modular-backdoor-uses-complex-anti-analysis-techniques/

สำหรับการแพร่ระบาดนี้เริ่มต้นขึ้นจากไฟล์ RTF เพียงไฟล์เดียวเท่านั้น และใช้เทคนิค Multi-stage Installation Process เพื่อหลีกเลี่ยงการตรวจจับได้อย่างแยบยล โดยไฟล์ RTF นี้จะอาศัยช่องโหว่ของ Microsoft Office 2003/2007/2010/2013, Word for Mac 2011, Microsoft SQL Server 2005/2008, Microsoft SharePoint 2010/2013 และผลิตภัณฑ์อื่นๆ อีกจำนวนหนึ่ง เพื่อเริ่มรันคำสั่งและสร้างไฟล์ขึ้นมาใน %TEMP% Folder จากนั้นก็ทำการถอดรหัสและสร้างออกมาเป็น .exe แล้วสั่งเรียกใช้งานทันที

จากนั้น T9000 จะทำการสร้าง Mutex ขึ้นมาเพื่อให้มั่นใจว่า Malware จะทำงานแค่ Instance เดียวเท่านั้น แล้วจึงทำการตรวจสอบหาผลิตภัณฑ์รักษาความปลอดภัยที่ติดตั้งอยู่ในเครื่องด้วยการตรวจสอบ Registry ที่ HKLM\Software\registry ดังต่อไปนี้

  • Sophos
  • INCAInternet
  • DoctorWeb
  • Baidu
  • Comodo
  • TrustPortAntivirus
  • GData
  • AVG
  • BitDefender
  • VirusChaser
  • McAfee
  • Panda
  • Trend Micro
  • Kingsoft
  • Norton
  • Micropoint
  • Filseclab
  • AhnLab
  • JiangMin
  • Tencent
  • Avira
  • Kaspersky
  • Rising
  • 360
Credit: http://researchcenter.paloaltonetworks.com/2016/02/t9000-advanced-modular-backdoor-uses-complex-anti-analysis-techniques/
Credit: http://researchcenter.paloaltonetworks.com/2016/02/t9000-advanced-modular-backdoor-uses-complex-anti-analysis-techniques/
Credit: http://researchcenter.paloaltonetworks.com/2016/02/t9000-advanced-modular-backdoor-uses-complex-anti-analysis-techniques/
Credit: http://researchcenter.paloaltonetworks.com/2016/02/t9000-advanced-modular-backdoor-uses-complex-anti-analysis-techniques/

T9000 จะทำการสร้างไฟล์ avinfo ขึ้นมาที่ %APPDATA%\Intel เพื่อบันทึกเอาไว้ว่าตรวจพบผลิตภัณฑ์รักษาความปลอดภัยจากผู้ผลิตรายใดบ้าง เพื่อเลือกใช้วิธีการโจมตีที่แตกต่างกันไปในการติดตั้งเครื่องมือสำหรับโจมตีจำนวนมากที่จะอยู่ภายใต้ Folder เดียวกันนี้ต่อไป รวมถึงทำการติดตั้ง Plugins สำหรับใช้ในการโจมตีเพิ่มเติมอีก 3 ตัว ได้แก่

  • tyeu.dat
  • vnkd.dat
  • qhnj.dat

ซึ่งทั้ง 3 Plugins นี้จะมีหน้าที่ในการโจมตีและขโมยข้อมูลจาก Skype ที่แตกต่างกันออกไป ส่วนตัว Malware เองก็รองรับการรับส่งคำสั่งจากระยะไกลเพื่ออัพโหลดหรือดาวน์โหลดข้อมูลใดๆ รวมถึงเรียกใช้คำสั่งต่างๆ ได้อีกด้วย

ทั้งนี้ทาง Palo Alto Networks ก็ได้ทำการเสริมการตรวจจับและป้องกันลงไปในผลิตภัณฑ์ของตัวเองเรียบร้อยแล้วไม่ว่าจะเป็น Threat Prevention, Traps, WildFire, Anti-malware และ AutoFocus

รายละเอียดเต็มๆ สามารถอ่านได้ที่นี่ครับ http://researchcenter.paloaltonetworks.com/2016/02/t9000-advanced-modular-backdoor-uses-complex-anti-analysis-techniques/

ที่มา: http://www.networkworld.com/article/3030700/security/t9000-skype-backdoor-malware-steals-audio-video-chats-screenshots-documents.html#tk.rss_all , http://researchcenter.paloaltonetworks.com/2016/02/t9000-advanced-modular-backdoor-uses-complex-anti-analysis-techniques/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ร่วมเสวนาด้าน Cybersecurity สำหรับหน่วยงาน CII ทั้ง 8 กลุ่ม ในงาน NCSA Thailand National Cyber Week 2023 วันที่ 17 – 18 กุมภาพันธ์ ณ สามย่านมิตรทาวน์

สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ขอเชิญเหล่าผู้บริหารและผู้ปฏิบัติงานด้าน Cybersecurity ของหน่วยงาน/องค์กรโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) ทั้ง 8 กลุ่ม รวมถึงนักเรียนนักศึกษาและประชาชนที่สนใจ เข้าร่วมการเสวนาด้าน Cybersecurity สำหรับหน่วยงาน/องค์กรด้าน CII ในงาน …

ตลาด SaaS มีแนวโน้มจะแข่งขันดุเดือดมากขึ้นทุกปี

อัตราการเติบโต Dynamics 365 ของ Microsoft กำลังถูกเบียดพื้นที่ส่วนแบ่งตลาดจากผู้เล่นรายใหญ่อย่าง Oracle, SAP, Workday และ Salesforce ซึ่งได้รับรายรับโตขึ้นตามลำดับอย่างน่าพอใจ