Microsoft เตือนมัลแวร์ ‘Dexphot’ มีเหยื่อแล้วถึง 8 หมื่นราย

Dexphot เป็นมัลแวร์ที่หวังผลลัพธ์โดยการเข้าไปขุดเหมืองที่แม้อาจไม่ได้เป็นกระแสนัก แต่วันนี้ผู้เชี่ยวชาญจาก Microsoft ได้ออกมาเตือนถึงจำนวนเหยื่อกว่า 80,000 ราย นอกจากนี้ยังขนเทคนิคที่น่าสนใจมาเพียบ เช่น Living off the land, Fileless และ polymorphic เป็นต้น

credit : microsoft

Dexphot ได้เริ่มต้นปฏิบัติการมาตั้งแต่ราวตุลาคมปีที่แล้ว โดยจำนวนเหยื่อสูงสุดอยู่ที่ 80,000 รายในเดือนมิถุนายนของปี 2019 ก่อนที่ Microsoft จะหาวิธีหยุดยั้งการโจมตีได้และค่อยๆ ลดลง แต่ที่น่าสนใจคือมัลแวร์ตัวนี้ได้ใช้เทคนิคซับซ้อนมากมายเลยทีเดียวดังนี้

  • เป็นมัลแวร์ที่ถูกติดตั้งจากการติดมัลแวร์ตัวอื่นเข้ามาก่อนหรือที่เรียกว่า  Second-stage Payload ซึ่งในที่นี้มัลแวร์ตัวแรกคือ ICLoader โดยเหยื่อไปดาวน์โหลดซอฟต์แวร์เถื่อนเข้ามาจึงได้รับของแถมสุดพิเศษที่ซ่อนอยู่
  • ตัวติดตั้งของ Dexphot ที่ได้จาก ICLoader คือส่วนเดียวที่ถูกเขียนลงดิสก์และเป็นระยะสั้นเท่านั้น หลังจากนั้น Dexphot จะปฏิบัติการในหน่วยความจำอย่างเดียว (Fileless) 
  • ใช้โปรเซสของ Windows ปกติในระบบในทางไม่ดี เช่น msiexec.exe, unzip.exe, rundll32.exe, schtasks.exe และ powershell.exe 
  • ปรับเปลี่ยนตัวเองสม่ำเสมอเพื่อหนีการตรวจจับ (polymorphism) เช่น แก้ไขชื่อไฟล์และ URL ทุก 20-30 นาที 
  • มีกระบวนการฝังตัวได้ยาวนานโดยการทำ Process Hollowing กับ svchost.exe และ nslookup.exe เพื่อลอบรันโค้ด ซึ่งแก้ไขได้เพียงตัวเดียวก็ยังกลับมาได้อีก นอกจากนี้ยังมีการทำ Schedule เพื่อสามารถกลับมาติดเหยื่อได้แบบ Fileless ทุกครั้งที่ Reboot ระหว่าง 90-110 นาที ซึ่งสามารถรับคำสั่งมาเปลี่ยนแปลงได้เรื่อยๆ อีก

จะเห็นได้ว่า Dexphot เป็นมัลแวร์ที่ดูคาดหวังผลธรรมดาแต่ใช้เทคนิคซับซ้อนระดับสูงซึ่งเมื่อก่อนจะพบแค่ในกลุ่มแฮ็กเกอร์ระดับรัฐแต่ปัจจุบันมีการประยุกต์ใช้กับมัลแวร์ทั่วไปมากขึ้นเรื่อยๆ ดังนั้นผู้ใช้งานจึงควรอัปเดตโซลูชันการป้องกันต่างๆ อย่างสม่ำเสมอครับ ผู้สนใจสามารถศึกษาเพิ่มเติมได้ที่นี่

ที่มา :  https://www.zdnet.com/article/microsoft-says-new-dexphot-malware-infected-more-than-80000-computers/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

อุปกรณ์ Apple เสี่ยงถูกโจมตี ผ่านช่องโหว่คอนโทรลเลอร์ USB-C ACE3

ผู้ใช้อุปกรณ์ Apple กำลังเผชิญความเสี่ยงใหม่ หลังจากที่นักวิจัยด้านความมั่นคงปลอดภัยสามารถแฮ็กคอนโทรลเลอร์ USB-C ACE3 ซึ่งเป็นส่วนสำคัญที่รับผิดชอบการจัดการการชาร์จไฟและการถ่ายโอนข้อมูลบนอุปกรณ์รุ่นล่าสุดของ Apple ได้สำเร็จ

[รีวิว] TP-Link OMADA EAP723 ง่าย เร็ว คุ้ม ตอบโจทย์ทุกธุรกิจ

ในปี 2025 มาตรฐาน Wi-Fi 7 ได้ถูกบรรจุเข้ามาแล้วในอุปกรณ์เครือข่ายไร้สาย ซึ่งสำหรับ TP-Link OMADA EAP723 ถือเป็นอีกทางเลือกหนึ่งที่ธุรกิจสามารถสัมผัสกับเทคโนโลยีใหม่ล่าสุดนี้ได้ในราคาย่อมเยา เพราะเครือข่ายในธุรกิจมีความจำเป็นอย่างยิ่งต่อการดำเนินธุรกิจ โดยคอนเซปต์ของ TP-Link OMADA …