พบแคมเปญแพร่มัลแวร์ขุดเหมืองครั้งใหม่ มีเหยื่อเกือบ 5 แสนคนภายใน 3 วัน

นักวิจัยจาก Qihoo360 ผู้ให้บริการผลิตภัณฑ์ด้านความมั่นคงปลอดภัยอินเทอร์เน็ตได้ค้นพบแคมเปญการแพร่มัลแวร์ใหม่บน Windows ที่ชื่อ ‘WinstartNssmMiner’ ที่ออกแบบมาเพื่อใช้ทรัพยากรของเหยื่อในการขุดเหมืองเงินดิจิตอลสกุล Monero ซึ่งคาดว่ามีเหยื่อเกือบ 5 แสนคนแล้วภายใน 3 วัน

แม้ว่าทีมนักวิจัยไม่ได้เผยถึงวิธีการแพร่ของมัลแวร์ตัวนี้แต่ได้เปิดเผยถึงขั้นตอนการทำงานของมัลแวร์ว่ามีการปิดโปรเซสของผลิตภัณฑ์ Antivirus ได้ด้วยคือ

• เมื่อติดเครื่องเหยื่อจะสแกนหาโปรเซส Antivirus ของ Avast และ Kaspersky ถ้ามีหนึ่งในผลิตภัณฑ์นี้จะยกเลิกการติดเครื่องเหยื่อ
• ถ้าไม่มีผลิตภัณฑ์ข้างต้นจะสร้างโปรเซส svchost.exe มา 2 โปรเซส ตัวแรกเพื่อซ่อนการขุดเหมือง ส่วนตัวที่สองเพื่อดูโปรเซสของ Antivirus ตัวอื่นและสามารถปิดโปรเซสนั้นเพื่อหลบเลี่ยงการตรวจจับได้

ที่ร้ายกว่านั้นเมื่อผู้ใช้งานค้นพบปฏิบัติการขุดเหมืองที่ซ่อนไว้และพยายามปิด svchost.exe โปรเซสที่เกี่ยวกับการขุดเหมืองจะส่งผลให้ระบบทำงานผิดพลาดจนต้อง Restart เพราะมัลแวร์ไปตั้งค่าโปรเซสไว้ให้เป็น ‘CriticalProcess’ จากการบอกเล่าของนักวิจัยคาดว่ามัลแวร์ WinstartNssmMiner สามารถทำรายได้ไปกว่า 133 Monero หรือประมาณ $28,000 เหรียญสหรัฐแล้ว

ที่มา : https://www.bleepingcomputer.com/news/security/winstarnssmminer-coinminer-campaign-makes-500-000-victims-in-three-days/