Breaking News
AMR | Citrix Webinar: The Next New Normal

Ransom32 มัลแวร์เรียกค่าไถ่แบบ SaaS พัฒนาโดยใช้ JavaScript

emsisoft_logo

Emsisoft บริษัทแอนตี้ไวรัสชื่อดัง ได้ออกมาเผยแพร่มัลแวร์เรียกค่าไถ่ (Ransomware) ตัวใหม่ที่เพิ่งถูกค้นพบ เรียกว่า Ransom32 ซึ่งเป็นมัลแวร์รูปแบบใหม่ที่พัฒนาโดยใช้ภาษาจาวาสคริปต์ รับคำสั่งจาก C&C Server ผ่านเครือข่าย Tor ที่สำคัญคือ เป็นมัลแวร์ที่พัฒนาภายใต้แนวคิด SaaS และ ณ ขณะนี้ยังไม่มี Signature ใดที่สามารถตรวจจับมัลแวร์นี้ได้

แพร่กระจายผ่านทาง Phishing Email

Ransom32 แพร่กระจายไปยังระบบคอมพิวเตอร์ผ่านทางการส่งอีเมล Phishing ที่หลอกให้ผู้ใช้ดาวน์โหลดมัลแวร์เข้ามาโดยไม่รู้ตัว Ransom32 จะอยู่ในรูปของไฟล์บีบอัด WinRAR ที่สามารถแตกตัวเองได้ ไฟล์บีบอัดนี้มีขนาดค่อนข้างใหญ่กว่ามัลแวร์โดยทั่วไป คือ มีขนาดประมาณ 22 MB ประกอบด้วย Built-in Script ที่สามารถแตกไฟล์และสั่งรันตัวเองได้ทันที หนึ่งในนั้นคือ chrome.exe ซึ่งเป็นแกนหลักของมัลแวร์

พัฒนาโดยใช้ JavaScript

chrome.exe แท้ที่จริงแล้วคือแพ็กเกจของแอพพลิเคชันที่เขียนขึ้นโดยภาษาจาวาสคริปต์ ภายในนั้นคือ NW.js ซึ่งเป็น Framework สำหรับพัฒนาโปรแกรมหรือแอพพลิเคชัน Framework นี้ช่วยให้นักพัฒนาสามารถสร้างแอพพลิเคชันบน Desktop ผ่านทาง Node.js และใช้แอพพลิเคชันเหล่านั้นติดต่อกับระบบปฏิบัติการ ส่งผลให้แฮ็คเกอร์สามารถปรับเปลี่ยน Ransom32 ให้สามารถทำงานบนระบบปฏิบัติการใดก็ได้ แต่ในขณะนี้ เป้าหมายหลักของการโจมตีคือ Windows

ransom32_1

ควบคุมผ่านเครือข่าย Tor และเรียกค่าไถ่ผ่าน Bitcoin

การทำงานของ Ransom32 ยังคงคล้ายคลึงกับมัลแวร์เรียกค่าไถ่ประเภทอื่นๆ นั่นคือ เมื่อทำงานแล้ว จะทำงานค้นหาและเข้ารหัสไฟล์เอกสาร ไฟล์รูปภาพ หรือไฟล์มัลติมีเดียต่างๆ โดยใช้การเข้ารหัสแบบ AES (CTR Block Mode) ขนาด 128 บิท ซึ่งแต่ละไฟล์ก็จะใช้กุญแจเข้ารหัสที่แตกต่างกันออกไป และมีการเข้ารหัสกุญแจเหล่านั้นทั้งหมดด้วย Public Key ที่ใช้อัลกอริธึมแบบ RSA จาก C&C Server อีกครั้งหนึ่ง การแลกเปลี่ยนกุญแจสำหรับเข้ารหัสเหล่านี้กระทำผ่านเครือข่าย Tor เพื่อหลีกเลี่ยงการตรวจจับ และเรียกร้องค่าไถ่ผ่านทาง Bitcoin

มัลแวร์บนแนวคิด SaaS

ที่น่าสนใจคือ Ransom32 ถูกออกแบบมาบนแนวคิดของ Software-as-a-Service (SaaS) นั่นคือ บุคคลใดก็ตามสามารถสร้างมัลแวร์เป็นของตนเองได้ทันที โดยอาศัยการตั้งค่าต่างๆผ่านทางเว็บไซต์ที่ซ่อนอยู่ในเครือข่าย Tor สำหรับ Ransom32 นี้ ผู้ที่ต้องการสร้างมัลแวร์เพียงแค่ระบุชื่อบัญชี Bitcoin สำหรับเรียกค่าไถ่ แล้วเข้าไปปรับแต่งการตั้งค่าต่างๆ เช่น จำนวนเงินที่เรียกร้อง และข้อความที่ใช้แจ้งเตือน มัลแวร์เรียกค่าไถ่ Ransom32 ก็พร้อมให้ดาวน์โหลดไปแพร่กระจายต่อทันที

ransom32_2

ยังไม่มี Signature ใดที่สามารถตรวจจับได้

จากการที่ Ransom32 ถูกพัฒนาขึ้นโดยใช้ NW.js ซึ่งเป็น Framework ที่ใช้กันโดยทั่วไป ส่งผลให้มัลแวร์นี้สามารถหลบเลี่ยงการตรวจจับของระบบป้องกันภัยที่ใช้ Signature ได้ นอกจากนี้การบล็อกทั้งแอพพลิเคชันก็ไม่ใช่ทางออกที่ดีเพียงพอ คำแนะนำ ณ ตอนนี้คือ หมั่นสำรองข้อมูลบนระบบคอมพิวเตอร์อย่างสม่ำเสมอ ตรวจสอบอีเมลและไฟล์แนบให้ดีก่อนเปิดอ่าน รวมไปถึงไม่รันหรือดาวน์โหลดไฟล์ที่ไม่ทราบที่มาแน่ชัด

ที่มา: http://securityaffairs.co/wordpress/43250/cyber-crime/ransom32-crypto-ransomware.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

CEBIT Webinar: การปรับตัวและใช้เทคโนโลยี AI เพื่อพัฒนาธุรกิจ หลังวิกฤต COVID-19 โดย Sertis

TechTalkThai ขอเรียนเชิญผู้บริหารธุรกิจและผู้ที่สนใจทุกท่าน เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "การปรับตัวและใช้เทคโนโลยี AI เพื่อพัฒนาธุรกิจ หลังวิกฤต COVID-19 โดย Sertis" เพื่อรับฟังบทวิเคราะห์สำหรับธุรกิจด้านการเตรียมตัวนำ AI มาใช้ในธุรกิจในโลกหลังยุค COVID-19 สำหรับอุตสาหกรรมต่างๆ ว่าจะมีกรณีการใช้งานใดที่สามารถนำมาประยุกต์ใช้อย่างเหมาะสมได้และสร้างคุณค่าให้กับธุรกิจได้อย่างไร ในวันศุกร์ที่ 29 พฤษภาคม 2020 เวลา 13.30 - 14.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนเข้าร่วมงานฟรีดังนี้

CEBIT Webinar: ก้าวถัดไปของธุรกิจยุค COVID-19 โดย AIS, ธนาคารกสิกรไทย และ TechTalkThai

TechTalkThai ขอเรียนเชิญผู้บริหารธุรกิจและผู้ที่สนใจทุกท่าน เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "ก้าวถัดไปของธุรกิจยุค COVID-19 โดย AIS, ธนาคารกสิกรไทย และ TechTalkThai" วงเสวนาว่าด้วยเรื่องของการทำงานในยุค COVID-19 ที่เปลี่ยนแปลงอย่างรวดเร็วในมุมของผู้บริหารธุรกิจยักษ์ใหญ่ในเมืองไทย พร้อมการพูดคุยวิเคราะห์สถานการณ์อนาคตหลังจากที่ธุรกิจไทยต้องเตรียมรับมือ ในวันศุกร์ที่ 29 พฤษภาคม 2020 เวลา 10.30 - 11.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนเข้าร่วมงานฟรีดังนี้