เตือนมัลแวร์แคมเปญใหม่ เพียงเปิดไฟล์ PowerPoint ก็ถูกโจมตีทันที

August 15, 2017 Cybersecurity, Endpoint Security, Products, Threats Update, Trend Micro

Trend Micro ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยแบบครบวงจร ออกมาแจ้งเตือนถึงมัลแวร์แคมเปญใหม่ ที่อาศัยช่องโหว่บน Object Linking and Embedding (OLE) ที่เพิ่งถูกแพทช์ไปเมื่อเดือนเมษายนในการโจมตีระบบคอมพิวเตอร์ โดยแฝงตัวมาในรูปของไฟล์ PowerPoint (PPSX) ที่ถูกออกแบบมาเป็นพิเศษ เพียงแค่เหยื่อเปิดไฟล์ คอมพิวเตอร์ก็จะถูกโจมตีทันที

นักวิจัยด้านความมั่นคงปลอดภัยจาก Trend Micro ระบุว่า มัลแวร์แคมเปญที่ค้นพบนี้อาศัยช่องโหว่รหัส CVE-2017-0199 ซึ่งเป็นช่องโหว่ที่ค้นพบเมื่อเดือนเมษายนที่ผ่านมา ครั้งแรกที่พบนั้น แฮ็คเกอร์ได้ใช้ช่องโหว่ดังกล่าวเจาะเข้าระบบคอมพิวเตอร์ผ่านทางไฟล์เอกสารประเภท RTF ส่งผลให้ระบบรักษาความมั่นคงปลอดภัยในขณะนี้โฟกัสที่การตรวจจับช่องโหว่บนไฟล์ RTF เพียงอย่างเดียว แต่ล่าสุดแฮ็คเกอร์ได้เปลี่ยนวิธีการเจาะผ่านช่องโหว่ใหม่โดยใช้ไฟล์ PPSX แทน จึงทำให้โปรแกรม Antivirus หลายยี่ห้อในปัจจุบันไม่สามารถตรวจจับได้

นักวิจัยพบว่า มัลแวร์แคมเปญนี้แพร่กระจายตัวผ่านทางการโจมตีแบบ Spear-phishing หลอกว่าเป็นอีเมลที่ถูกส่งมาจากแผนขายของบริษัท โดยพุ่งเป้าไปที่อุตสาหกรรมการผลิตสายเคเบิล และบริษัทที่เกี่ยวข้องกับอุตสาหกรรมอิเล็กทรอนิกส์ ซึ่งมีขั้นตอนการโจมตี ดังนี้

ขั้นตอนที่ 1: การโจมตีเร่ิมต้นโดยแฮ็คเกอร์ส่งอีเมลที่แนบไฟล์ PowerPoint (PPSX) ซึ่งแฝงมัลแวร์อยู่ โดยหลอกว่าเป็นข้อมูลเกี่ยวกับการส่งสินค้าที่เพิ่งสั่งไป

ขั้นตอนที่ 2: เมื่อเหยื่อเผลอเปิดไฟล์ดังกล่าว ไฟล์นั้นจะเรียกไฟล์ XML ที่ถูกโปรแกรมลงไปให้ไปดาวน์โหลดไฟล์ “logo.doc” จากภายนอก แล้วสั่งรันผ่านทางฟีเจอร์ PowerPoint Show

ขั้นตอนที่ 3: ไฟล์ Logo.doc ทำการเจาะช่องโหว่ CVE-2017-0199 ซึ่งจะทำการดาวน์โหลดและรัน RATMAN.exe บนคอมพิวเตอร์ของเหยื่อ

ขั้นตอนที่4: RATMAN.exe เป็นเครื่องมือ Remcos Remote Control ประเภทโทรจัน ซึ่งเมื่อถูกติดตั้งแล้ว จะช่วยให้แฮ็คเกอร์สามารถเข้าควบคุมคอมพิวเตอร์เป้าหมายได้จากระยะไกลผ่านทาง C&C Server ไม่ว่าจะเป็นการโจมตีแบบ Remote Code Execution, Keylogger, Screen Logger หรือบันทึกเสียและภาพผ่านไมโครโฟนและเว็บแคม เป็นต้น

วิธีการป้องกันมัลแวร์แคมเปญที่ดีที่สุดในขณะนี้คือการอัปเดตแพทช์สำหรับอุดช่องโหว่ CVE-2017-0199 ที่ Microsoft เปิดให้ดาวน์โหลดเมื่อเดือนเมษายนที่ผ่านมา

ที่มาและเครดิตรูปภาพ: http://thehackernews.com/2017/08/powerpoint-malware-ms-office.html

Tags

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Huawei เปิดตัวสถาปัตยกรรมชิปใหม่ แก้ปัญหาคว่ำบาตรและข้อจำกัด Moore’s Law

Huawei Technologies ยักษ์ใหญ่ด้านอิเล็กทรอนิกส์จากจีนได้เปิดตัวเฟรมเวิร์กการออกแบบชิปใหม่ ซึ่งบริษัทระบุว่าจะช่วยลดช่องว่างในอุตสาหกรรมเซมิคอนดักเตอร์กับผู้นำระดับโลกอย่าง TSMC และ Nvidia ได้

AIS Business เปิดตัว AIS Quantum-Safe Networks ปูทางธุรกิจปกป้องข้อมูล เตรียมรับมือการมาของ Quantum Computer ได้แล้ววันนี้

ในปี 2025 ที่ผ่านมา หนึ่งในหัวข้อด้าน Cybersecurity ที่ถูกพูดถึงกันอย่างเนืองแน่นนั้นก็คือเรื่องของ Quantum Safe ที่ว่าด้วยการเตรียมความพร้อมของระบบ IT Infrastructure ให้ปลอดภัยจากความเสี่ยงที่ข้อมูลซึ่งถูกเข้ารหัสเอาไว้ อาจจะถูก Quantum Computer …

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand