TTT 2025 Events
IBM Flashsystem

เตือนมัลแวร์แคมเปญใหม่ เพียงเปิดไฟล์ PowerPoint ก็ถูกโจมตีทันที

August 15, 2017 Cybersecurity, Endpoint Security, Products, Threats Update, Trend Micro

Trend Micro ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยแบบครบวงจร ออกมาแจ้งเตือนถึงมัลแวร์แคมเปญใหม่ ที่อาศัยช่องโหว่บน Object Linking and Embedding (OLE) ที่เพิ่งถูกแพทช์ไปเมื่อเดือนเมษายนในการโจมตีระบบคอมพิวเตอร์ โดยแฝงตัวมาในรูปของไฟล์ PowerPoint (PPSX) ที่ถูกออกแบบมาเป็นพิเศษ เพียงแค่เหยื่อเปิดไฟล์ คอมพิวเตอร์ก็จะถูกโจมตีทันที

นักวิจัยด้านความมั่นคงปลอดภัยจาก Trend Micro ระบุว่า มัลแวร์แคมเปญที่ค้นพบนี้อาศัยช่องโหว่รหัส CVE-2017-0199 ซึ่งเป็นช่องโหว่ที่ค้นพบเมื่อเดือนเมษายนที่ผ่านมา ครั้งแรกที่พบนั้น แฮ็คเกอร์ได้ใช้ช่องโหว่ดังกล่าวเจาะเข้าระบบคอมพิวเตอร์ผ่านทางไฟล์เอกสารประเภท RTF ส่งผลให้ระบบรักษาความมั่นคงปลอดภัยในขณะนี้โฟกัสที่การตรวจจับช่องโหว่บนไฟล์ RTF เพียงอย่างเดียว แต่ล่าสุดแฮ็คเกอร์ได้เปลี่ยนวิธีการเจาะผ่านช่องโหว่ใหม่โดยใช้ไฟล์ PPSX แทน จึงทำให้โปรแกรม Antivirus หลายยี่ห้อในปัจจุบันไม่สามารถตรวจจับได้

นักวิจัยพบว่า มัลแวร์แคมเปญนี้แพร่กระจายตัวผ่านทางการโจมตีแบบ Spear-phishing หลอกว่าเป็นอีเมลที่ถูกส่งมาจากแผนขายของบริษัท โดยพุ่งเป้าไปที่อุตสาหกรรมการผลิตสายเคเบิล และบริษัทที่เกี่ยวข้องกับอุตสาหกรรมอิเล็กทรอนิกส์ ซึ่งมีขั้นตอนการโจมตี ดังนี้

ขั้นตอนที่ 1: การโจมตีเร่ิมต้นโดยแฮ็คเกอร์ส่งอีเมลที่แนบไฟล์ PowerPoint (PPSX) ซึ่งแฝงมัลแวร์อยู่ โดยหลอกว่าเป็นข้อมูลเกี่ยวกับการส่งสินค้าที่เพิ่งสั่งไป

ขั้นตอนที่ 2: เมื่อเหยื่อเผลอเปิดไฟล์ดังกล่าว ไฟล์นั้นจะเรียกไฟล์ XML ที่ถูกโปรแกรมลงไปให้ไปดาวน์โหลดไฟล์ “logo.doc” จากภายนอก แล้วสั่งรันผ่านทางฟีเจอร์ PowerPoint Show

ขั้นตอนที่ 3: ไฟล์ Logo.doc ทำการเจาะช่องโหว่ CVE-2017-0199 ซึ่งจะทำการดาวน์โหลดและรัน RATMAN.exe บนคอมพิวเตอร์ของเหยื่อ

ขั้นตอนที่4: RATMAN.exe เป็นเครื่องมือ Remcos Remote Control ประเภทโทรจัน ซึ่งเมื่อถูกติดตั้งแล้ว จะช่วยให้แฮ็คเกอร์สามารถเข้าควบคุมคอมพิวเตอร์เป้าหมายได้จากระยะไกลผ่านทาง C&C Server ไม่ว่าจะเป็นการโจมตีแบบ Remote Code Execution, Keylogger, Screen Logger หรือบันทึกเสียและภาพผ่านไมโครโฟนและเว็บแคม เป็นต้น

วิธีการป้องกันมัลแวร์แคมเปญที่ดีที่สุดในขณะนี้คือการอัปเดตแพทช์สำหรับอุดช่องโหว่ CVE-2017-0199 ที่ Microsoft เปิดให้ดาวน์โหลดเมื่อเดือนเมษายนที่ผ่านมา

ที่มาและเครดิตรูปภาพ: http://thehackernews.com/2017/08/powerpoint-malware-ms-office.html

Tags

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

โลกดิจิทัลหมุนเร็วจนน่าตกใจ! ทรูห่วงใย พร้อมปกป้องลูกค้าทุกคนจากภัยไซเบอร์ ทั้งแบบไม่มีค่าใช้จ่ายเพิ่มกับ True CyberSafe และแบบจัดพิเศษเมื่อใช้งานนอกเครือข่าย กับ F-Secure for True [PR]

ท่ามกลางความเสี่ยงในโลกยุคดิจิทัลที่ภัยออนไลน์คุกคามอย่างไม่หยุดยั้ง ทั้งรูปแบบลิงก์หลอกลวงทาง SMS โทรหลอกลวง ไปจนถึงเว็บไซต์อันตราย  ทรู คอร์ปอเรชั่น ลงทุนพัฒนานวัตกรรมบริการเพื่อป้องกันภัยไซเบอร์ให้ลูกค้าทรู ดีแทค และทรูออนไลน์ทุกคน  ด้วย 2 โซลูชันความปลอดภัยที่ตอบโจทย์ไลฟ์สไตล์ที่แตกต่าง

Synology เปิดตัว DiskStation DS925+ โซลูชันจัดเก็บข้อมูลแรงจัดเต็ม ขยายได้ถึง 180TB ตอบโจทย์องค์กรยุคใหม่ที่ต้องการความเร็ว เสถียรภาพ และการขยายตัวในอนาคต [PR]

Synology เปิดตัว DiskStation DS925+ รุ่นใหม่ล่าสุดในตระกูล Plus Series โดดเด่นด้วยประสิทธิภาพระดับมืออาชีพ รองรับความต้องการของทั้งผู้ใช้งานทั่วไป องค์กรธุรกิจ และสภาพแวดล้อมสำนักงานสาขา ด้วยขนาดกะทัดรัดแต่ทรงพลัง และขยายพื้นที่จัดเก็บได้สูงสุดถึง 180TB ออกแบบมาสำหรับงานหนัก …

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand