Microsoft เตือนมัลแวร์ ‘Dexphot’ มีเหยื่อแล้วถึง 8 หมื่นราย

Dexphot เป็นมัลแวร์ที่หวังผลลัพธ์โดยการเข้าไปขุดเหมืองที่แม้อาจไม่ได้เป็นกระแสนัก แต่วันนี้ผู้เชี่ยวชาญจาก Microsoft ได้ออกมาเตือนถึงจำนวนเหยื่อกว่า 80,000 ราย นอกจากนี้ยังขนเทคนิคที่น่าสนใจมาเพียบ เช่น Living off the land, Fileless และ polymorphic เป็นต้น

credit : microsoft

Dexphot ได้เริ่มต้นปฏิบัติการมาตั้งแต่ราวตุลาคมปีที่แล้ว โดยจำนวนเหยื่อสูงสุดอยู่ที่ 80,000 รายในเดือนมิถุนายนของปี 2019 ก่อนที่ Microsoft จะหาวิธีหยุดยั้งการโจมตีได้และค่อยๆ ลดลง แต่ที่น่าสนใจคือมัลแวร์ตัวนี้ได้ใช้เทคนิคซับซ้อนมากมายเลยทีเดียวดังนี้

  • เป็นมัลแวร์ที่ถูกติดตั้งจากการติดมัลแวร์ตัวอื่นเข้ามาก่อนหรือที่เรียกว่า  Second-stage Payload ซึ่งในที่นี้มัลแวร์ตัวแรกคือ ICLoader โดยเหยื่อไปดาวน์โหลดซอฟต์แวร์เถื่อนเข้ามาจึงได้รับของแถมสุดพิเศษที่ซ่อนอยู่
  • ตัวติดตั้งของ Dexphot ที่ได้จาก ICLoader คือส่วนเดียวที่ถูกเขียนลงดิสก์และเป็นระยะสั้นเท่านั้น หลังจากนั้น Dexphot จะปฏิบัติการในหน่วยความจำอย่างเดียว (Fileless) 
  • ใช้โปรเซสของ Windows ปกติในระบบในทางไม่ดี เช่น msiexec.exe, unzip.exe, rundll32.exe, schtasks.exe และ powershell.exe 
  • ปรับเปลี่ยนตัวเองสม่ำเสมอเพื่อหนีการตรวจจับ (polymorphism) เช่น แก้ไขชื่อไฟล์และ URL ทุก 20-30 นาที 
  • มีกระบวนการฝังตัวได้ยาวนานโดยการทำ Process Hollowing กับ svchost.exe และ nslookup.exe เพื่อลอบรันโค้ด ซึ่งแก้ไขได้เพียงตัวเดียวก็ยังกลับมาได้อีก นอกจากนี้ยังมีการทำ Schedule เพื่อสามารถกลับมาติดเหยื่อได้แบบ Fileless ทุกครั้งที่ Reboot ระหว่าง 90-110 นาที ซึ่งสามารถรับคำสั่งมาเปลี่ยนแปลงได้เรื่อยๆ อีก

จะเห็นได้ว่า Dexphot เป็นมัลแวร์ที่ดูคาดหวังผลธรรมดาแต่ใช้เทคนิคซับซ้อนระดับสูงซึ่งเมื่อก่อนจะพบแค่ในกลุ่มแฮ็กเกอร์ระดับรัฐแต่ปัจจุบันมีการประยุกต์ใช้กับมัลแวร์ทั่วไปมากขึ้นเรื่อยๆ ดังนั้นผู้ใช้งานจึงควรอัปเดตโซลูชันการป้องกันต่างๆ อย่างสม่ำเสมอครับ ผู้สนใจสามารถศึกษาเพิ่มเติมได้ที่นี่

ที่มา :  https://www.zdnet.com/article/microsoft-says-new-dexphot-malware-infected-more-than-80000-computers/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Efficiency: การใช้ Pure Storage มีประสิทธิภาพและคุ้มค่าเหนือกว่าการใช้ Enterprise Storage อื่นอย่างไร

เพราะระบบ Enterprise Storage มักเป็นระบบที่สำคัญต่อธุรกิจองค์กร การลงทุนในระบบเหล่านี้แต่ละครั้งจึงต้องคำนึงถึงประเด็นด้านประสิทธิภาพและความคุ้มค่ามากเป็นพิเศษ เพื่อให้ระบบดังกล่าวสามารถรองรับการใช้งานของธุรกิจได้อย่างต่อเนื่องยาวนาน และคุ้มค่าสูงที่สุด Pure Storage ในฐานะของผู้นำด้านเทคโนโลยี All Flash Array พร้อมตอบโจทย์ดังกล่าวให้กับธุรกิจองค์กร ด้วย …

Dynatrace Webinar: Enabling DevOps/SRE to Build Better Quality Software with Dynatrace

DPM (Thailand) ร่วมกับ Dynatrace ขอเรียนเชิญ Developers, DevOps Engineer และ SRE เข้าร่วมงานสัมมนาออนไลน์เรื่อง "Enabling DevOps/SRE to Build Better Quality Software with Dynatrace" เพื่อเรียนรู้ว่า Dynatrace Cloud Automation จะช่วยแก้ปัญหาและเพิ่มความเร็วและเสถียรภาพของ DevOps ได้อย่างไร ในวันพฤหัสบดีที่ 25 สิงหาคม 2022 เวลา 14:00 น. ผ่านทาง Live Webinar ฟรี