พบแคมเปญมัลแวร์ใหม่ดัดแปลงการโจมตีเพื่อเลี่ยงการตรวจจับจาก Antivirus

Cisco Talos ได้พบกับแคมเปญของมัลแวร์ใหม่ที่ได้ดัดแปลงขั้นตอนการใช้งานช่องโหว่บน Word เพื่อหลีกเลี่ยงการตรวจจับจาก Antivirus โดยช่องโหว่ที่ถูกใช้คือ CVE-2017-0199 และ CVE-2017-11882 ซึ่งเมื่อทำสำเร็จจะติดตั้งมัลแวร์ 3 ตัวที่มุ่งเน้นขโมยข้อมูลคือ Agent Tesla, Loki และ Gamarue

credit : BleepingComputer

ไอเดียคือการโจมตีจะเริ่มด้วยอีเมลที่แนบไฟล์ Word (DOCX) เพื่อให้เหยื่อดาวน์โหลดตามปกติแต่จะมีการเปิดไฟล์ RTF (Rich Text Format หรือรูปแบบไฟล์เอกสารเดิมของ Microsoft ถูกพัฒนาระหว่างปี 1987-2008) ซึ่งตรงนี้เองคือกุญแจในการนำส่ง Payload อันตรายเพื่อเรียกมัลแวร์เข้ามาโดยไม่ถูกจับได้ โดยข้อความเนื้อหาอันตรายจะแอบอยู่ภายในไฟล์ RTF ตามภาพด้านบนที่รองรับการฝัง Object ผ่าน OLE (Object Linking and Embedding) ประเด็นคือตัว Parser RTF มักจะละเลยข้อความที่ตัวเองไม่รู้จัก ดังนั้นจึงถูกใช้แฝงโค้ดเจาะระบบได้ อย่างไรก็ตามในเหตุการณ์นี้ผู้ใช้งานไม่ต้องเข้าไปตั้งค่า Word หรือคลิกอะไรเพิ่มเติมเพื่อทำให้กระบวนการสำเร็จเลย

นอกจากนี้เมื่อ Cisco Talos วิเคราะห์เข้าไปถึงภายในพบว่าแฮ็กเกอร์ยังได้แก้ไข Header ของ OLE (ตามรูปด้านล่าง) เพื่อให้ดูเหมือนเป็น Tag ของฟอนต์แต่อันที่จริงแล้วคือการใช้ช่องโหว่ CVE-2017-11882 ที่ทำให้เกิด Memory Corruption ใน Office อีกด้วย มัลแวร์ที่ถูกนำเข้ามาทั้ง 3 ตัวคือ Agent Tesla หรือ Trojan ที่มีฟีเจอร์แอบขโมยข้อมูลรหัสผ่านของแอปต่างๆ เช่น Browser Email หรือ FTP, Loki คอยดูรหัสผ่านและสนใจพวก Wallet ของ Cyptocurrency และสุดท้าย Gamarue เป็น Worm ที่สามารถกระจายตัวเองออกไปได้ผ่านทางช่องโหว่อย่างรวดเร็วซึ่งมีเพียง Loki เท่านั้นที่ไม่มีฟีเจอร์ให้ควบคุมจากภายนอกเข้ามาได้ อย่างไรก็ดีมี Antivirus เพียง 2 เจ้าจาก 58 รายใน VirusTotal เท่านั้นที่สามารถตรวจจับการโจมตีได้คือ AhnLab-V3 ที่พบว่าเป็นมัลแวร์ ส่วนอีกเจ้าคือ  Zoner ที่แจ้งเพียงว่าเป็น RTF เวอร์ชันไม่ปกติ ผู้สนใจสามารถดูรายงานแบบละเอียดจาก Cisco Talos ได้ที่นี่

credit : BleepingComputer

ที่มา : https://www.bleepingcomputer.com/news/security/new-technique-recycles-exploit-chain-to-keep-antivirus-silent/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

NEXUS เชิญร่วมสัมมนาฟรี “Digitizing Intelligent Omni-Channel for your Retail Business” อาวุธลับความสำเร็จของธุรกิจค้าปลีกในรูปแบบใหม่

บริษัท เน็กซัส ซิสเท็ม รีซอร์สเซส จำกัด ผู้เชี่ยวชาญด้านการให้คำปรึกษา วางระบบซอฟต์แวร์ เพื่อเพิ่มศักยภาพธุรกิจ ร่วมกับ SAP ผู้พัฒนาซอฟต์แวร์ อันดับ 1 และ DELL EMC ผู้ให้บริการฮาร์ดแวร์ ชั้นนำของโลก ขอเรียนเชิญผู้บริหาร ทีมไอที และผู้ที่สนใจเข้าร่วมงานสัมมนา "Digitizing Intelligent Omni-Channel for your Retail Business" เพื่อเรียนรู้แนวทางการประยุกต์ใช้เทคโนโลยีต่างๆ มาเปลี่ยนให้ธุรกิจค้าปลีกของคุณก้าวสู่การเป็น Omni-Channel และ Online-to-Offline (O2O) ได้อย่างเต็มตัว ในวันที่ 30 กรกฎาคม 2019 โดยมีรายละเอียด กำหนดการ และวิธีการลงทะเบียนเข้าร่วมงานดังนี้

กรณีศึกษา: API กับการทำ Open Banking และการนำ API ไปต่อยอดธุรกิจในอุตสาหกรรมอื่นทั่วโลก

คงปฏิเสธไม่ได้ว่าทุกวันนี้ข้อมูลได้เข้ามามีบทบาททั้งในการทำงานและการใช้ชีวิตประจำวันของทุกคนเป็นอย่างมาก และ API นั้นก็ถือเป็นเบื้องหลังที่สำคัญอันหนึ่งในการทำให้การนำข้อมูลมาใช้งานนั้นเกิดขึ้นได้อย่างแพร่หลายและกว้างขวางอย่างทุกวันนี้ ในบทความนี้เราจะมาเล่าถึงกรณีศึกษาในการนำ API มาใช้ในธุรกิจต่างๆ ทั้งกรณีของการทำ Open Banking ที่กำลังเป็นแนวโน้มใหญ่ และการใช้งาน API ในธุรกิจอุตสาหกรรมอื่นๆ เพื่อเป็นแนวทางให้ทุกท่านได้นำไปประยุกต์ใช้เข้ากับธุรกิจของตนเองได้