SUSE by Ingram

พบแคมเปญมัลแวร์ใหม่ดัดแปลงการโจมตีเพื่อเลี่ยงการตรวจจับจาก Antivirus

Cisco Talos ได้พบกับแคมเปญของมัลแวร์ใหม่ที่ได้ดัดแปลงขั้นตอนการใช้งานช่องโหว่บน Word เพื่อหลีกเลี่ยงการตรวจจับจาก Antivirus โดยช่องโหว่ที่ถูกใช้คือ CVE-2017-0199 และ CVE-2017-11882 ซึ่งเมื่อทำสำเร็จจะติดตั้งมัลแวร์ 3 ตัวที่มุ่งเน้นขโมยข้อมูลคือ Agent Tesla, Loki และ Gamarue

credit : BleepingComputer

ไอเดียคือการโจมตีจะเริ่มด้วยอีเมลที่แนบไฟล์ Word (DOCX) เพื่อให้เหยื่อดาวน์โหลดตามปกติแต่จะมีการเปิดไฟล์ RTF (Rich Text Format หรือรูปแบบไฟล์เอกสารเดิมของ Microsoft ถูกพัฒนาระหว่างปี 1987-2008) ซึ่งตรงนี้เองคือกุญแจในการนำส่ง Payload อันตรายเพื่อเรียกมัลแวร์เข้ามาโดยไม่ถูกจับได้ โดยข้อความเนื้อหาอันตรายจะแอบอยู่ภายในไฟล์ RTF ตามภาพด้านบนที่รองรับการฝัง Object ผ่าน OLE (Object Linking and Embedding) ประเด็นคือตัว Parser RTF มักจะละเลยข้อความที่ตัวเองไม่รู้จัก ดังนั้นจึงถูกใช้แฝงโค้ดเจาะระบบได้ อย่างไรก็ตามในเหตุการณ์นี้ผู้ใช้งานไม่ต้องเข้าไปตั้งค่า Word หรือคลิกอะไรเพิ่มเติมเพื่อทำให้กระบวนการสำเร็จเลย

นอกจากนี้เมื่อ Cisco Talos วิเคราะห์เข้าไปถึงภายในพบว่าแฮ็กเกอร์ยังได้แก้ไข Header ของ OLE (ตามรูปด้านล่าง) เพื่อให้ดูเหมือนเป็น Tag ของฟอนต์แต่อันที่จริงแล้วคือการใช้ช่องโหว่ CVE-2017-11882 ที่ทำให้เกิด Memory Corruption ใน Office อีกด้วย มัลแวร์ที่ถูกนำเข้ามาทั้ง 3 ตัวคือ Agent Tesla หรือ Trojan ที่มีฟีเจอร์แอบขโมยข้อมูลรหัสผ่านของแอปต่างๆ เช่น Browser Email หรือ FTP, Loki คอยดูรหัสผ่านและสนใจพวก Wallet ของ Cyptocurrency และสุดท้าย Gamarue เป็น Worm ที่สามารถกระจายตัวเองออกไปได้ผ่านทางช่องโหว่อย่างรวดเร็วซึ่งมีเพียง Loki เท่านั้นที่ไม่มีฟีเจอร์ให้ควบคุมจากภายนอกเข้ามาได้ อย่างไรก็ดีมี Antivirus เพียง 2 เจ้าจาก 58 รายใน VirusTotal เท่านั้นที่สามารถตรวจจับการโจมตีได้คือ AhnLab-V3 ที่พบว่าเป็นมัลแวร์ ส่วนอีกเจ้าคือ  Zoner ที่แจ้งเพียงว่าเป็น RTF เวอร์ชันไม่ปกติ ผู้สนใจสามารถดูรายงานแบบละเอียดจาก Cisco Talos ได้ที่นี่

credit : BleepingComputer

ที่มา : https://www.bleepingcomputer.com/news/security/new-technique-recycles-exploit-chain-to-keep-antivirus-silent/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Citrix เข้าซื้อกิจการ Wrike ระบบ Work Management สำหรับองค์กรมูลค่า 67,500 ล้านบาท

Citrix ได้ออกมายืนยันถึงการเข้าซื้อ Wrike ธุรกิจ Startup ที่เติบโตมาเป็นระบบ Work Management Platform สำหรับธุรกิจองค์กรที่มูลค่า 2,250 ล้านเหรียญหรือราวๆ 67,500 ล้านบาท

รู้จักกับแนวทาง Unified Fast File and Object (UFFO) สำหรับจัดเก็บข้อมูลสมัยใหม่เพื่อนำไปใช้วิเคราะห์ประมวลผลได้อย่างง่ายดาย

ท่ามกลางยุคสมัยที่ข้อมูลใหม่ๆ ถูกสร้างขึ้นอยู่ตลอดเวลา และความต้องการในการนำข้อมูลไปใช้ต่อยอดสร้างโอกาสใหม่ๆ ให้กับธุรกิจนั้นเกิดขึ้นอย่างต่อเนื่อง แนวทางการในการจัดเก็บข้อมูลเพื่อให้พร้อมต่อการนำไปใช้อยู่เสมอนั้นจึงกลายเป็นโจทย์สำคัญโจทย์หนึ่งขององค์กร