Black Hat Asia 2023

Ransom32 มัลแวร์เรียกค่าไถ่แบบ SaaS พัฒนาโดยใช้ JavaScript

emsisoft_logo

Emsisoft บริษัทแอนตี้ไวรัสชื่อดัง ได้ออกมาเผยแพร่มัลแวร์เรียกค่าไถ่ (Ransomware) ตัวใหม่ที่เพิ่งถูกค้นพบ เรียกว่า Ransom32 ซึ่งเป็นมัลแวร์รูปแบบใหม่ที่พัฒนาโดยใช้ภาษาจาวาสคริปต์ รับคำสั่งจาก C&C Server ผ่านเครือข่าย Tor ที่สำคัญคือ เป็นมัลแวร์ที่พัฒนาภายใต้แนวคิด SaaS และ ณ ขณะนี้ยังไม่มี Signature ใดที่สามารถตรวจจับมัลแวร์นี้ได้

แพร่กระจายผ่านทาง Phishing Email

Ransom32 แพร่กระจายไปยังระบบคอมพิวเตอร์ผ่านทางการส่งอีเมล Phishing ที่หลอกให้ผู้ใช้ดาวน์โหลดมัลแวร์เข้ามาโดยไม่รู้ตัว Ransom32 จะอยู่ในรูปของไฟล์บีบอัด WinRAR ที่สามารถแตกตัวเองได้ ไฟล์บีบอัดนี้มีขนาดค่อนข้างใหญ่กว่ามัลแวร์โดยทั่วไป คือ มีขนาดประมาณ 22 MB ประกอบด้วย Built-in Script ที่สามารถแตกไฟล์และสั่งรันตัวเองได้ทันที หนึ่งในนั้นคือ chrome.exe ซึ่งเป็นแกนหลักของมัลแวร์

พัฒนาโดยใช้ JavaScript

chrome.exe แท้ที่จริงแล้วคือแพ็กเกจของแอพพลิเคชันที่เขียนขึ้นโดยภาษาจาวาสคริปต์ ภายในนั้นคือ NW.js ซึ่งเป็น Framework สำหรับพัฒนาโปรแกรมหรือแอพพลิเคชัน Framework นี้ช่วยให้นักพัฒนาสามารถสร้างแอพพลิเคชันบน Desktop ผ่านทาง Node.js และใช้แอพพลิเคชันเหล่านั้นติดต่อกับระบบปฏิบัติการ ส่งผลให้แฮ็คเกอร์สามารถปรับเปลี่ยน Ransom32 ให้สามารถทำงานบนระบบปฏิบัติการใดก็ได้ แต่ในขณะนี้ เป้าหมายหลักของการโจมตีคือ Windows

ransom32_1

ควบคุมผ่านเครือข่าย Tor และเรียกค่าไถ่ผ่าน Bitcoin

การทำงานของ Ransom32 ยังคงคล้ายคลึงกับมัลแวร์เรียกค่าไถ่ประเภทอื่นๆ นั่นคือ เมื่อทำงานแล้ว จะทำงานค้นหาและเข้ารหัสไฟล์เอกสาร ไฟล์รูปภาพ หรือไฟล์มัลติมีเดียต่างๆ โดยใช้การเข้ารหัสแบบ AES (CTR Block Mode) ขนาด 128 บิท ซึ่งแต่ละไฟล์ก็จะใช้กุญแจเข้ารหัสที่แตกต่างกันออกไป และมีการเข้ารหัสกุญแจเหล่านั้นทั้งหมดด้วย Public Key ที่ใช้อัลกอริธึมแบบ RSA จาก C&C Server อีกครั้งหนึ่ง การแลกเปลี่ยนกุญแจสำหรับเข้ารหัสเหล่านี้กระทำผ่านเครือข่าย Tor เพื่อหลีกเลี่ยงการตรวจจับ และเรียกร้องค่าไถ่ผ่านทาง Bitcoin

มัลแวร์บนแนวคิด SaaS

ที่น่าสนใจคือ Ransom32 ถูกออกแบบมาบนแนวคิดของ Software-as-a-Service (SaaS) นั่นคือ บุคคลใดก็ตามสามารถสร้างมัลแวร์เป็นของตนเองได้ทันที โดยอาศัยการตั้งค่าต่างๆผ่านทางเว็บไซต์ที่ซ่อนอยู่ในเครือข่าย Tor สำหรับ Ransom32 นี้ ผู้ที่ต้องการสร้างมัลแวร์เพียงแค่ระบุชื่อบัญชี Bitcoin สำหรับเรียกค่าไถ่ แล้วเข้าไปปรับแต่งการตั้งค่าต่างๆ เช่น จำนวนเงินที่เรียกร้อง และข้อความที่ใช้แจ้งเตือน มัลแวร์เรียกค่าไถ่ Ransom32 ก็พร้อมให้ดาวน์โหลดไปแพร่กระจายต่อทันที

ransom32_2

ยังไม่มี Signature ใดที่สามารถตรวจจับได้

จากการที่ Ransom32 ถูกพัฒนาขึ้นโดยใช้ NW.js ซึ่งเป็น Framework ที่ใช้กันโดยทั่วไป ส่งผลให้มัลแวร์นี้สามารถหลบเลี่ยงการตรวจจับของระบบป้องกันภัยที่ใช้ Signature ได้ นอกจากนี้การบล็อกทั้งแอพพลิเคชันก็ไม่ใช่ทางออกที่ดีเพียงพอ คำแนะนำ ณ ตอนนี้คือ หมั่นสำรองข้อมูลบนระบบคอมพิวเตอร์อย่างสม่ำเสมอ ตรวจสอบอีเมลและไฟล์แนบให้ดีก่อนเปิดอ่าน รวมไปถึงไม่รันหรือดาวน์โหลดไฟล์ที่ไม่ทราบที่มาแน่ชัด

ที่มา: http://securityaffairs.co/wordpress/43250/cyber-crime/ransom32-crypto-ransomware.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Adobe Summit 2023: ขับเคลื่อนการเติบโตด้วย “ประสบการณ์” [Guest Post]

• อะโดบีเปิดตัวนวัตกรรมมากมายสำหรับ Adobe Experience Cloud โดยเน้นบริการใหม่ด้าน generative AI, personalization, การจัดการด้านคอนเทนต์ และการวิเคราะห์ผลิตภัณฑ์ รวมถึงโซลูชั่น Content Supply Chain …

IBM Business Automation โซลูชั่นเพื่อปรับปรุงกระบวนการธุรกิจด้วยการผสมผสานระบบ BPM, ECM และ Case Manager [Guest Post]

บทความนี้จะแนะนำการใช้ IBM Business Automation เพื่อปรับปรุงกระบวนการธุรกิจภายในองค์กร โดยเน้นไปที่ระบบ Business Process Management (BPM) Enterprise Content Management (ECM) และ …