Ransom32 มัลแวร์เรียกค่าไถ่แบบ SaaS พัฒนาโดยใช้ JavaScript

emsisoft_logo

Emsisoft บริษัทแอนตี้ไวรัสชื่อดัง ได้ออกมาเผยแพร่มัลแวร์เรียกค่าไถ่ (Ransomware) ตัวใหม่ที่เพิ่งถูกค้นพบ เรียกว่า Ransom32 ซึ่งเป็นมัลแวร์รูปแบบใหม่ที่พัฒนาโดยใช้ภาษาจาวาสคริปต์ รับคำสั่งจาก C&C Server ผ่านเครือข่าย Tor ที่สำคัญคือ เป็นมัลแวร์ที่พัฒนาภายใต้แนวคิด SaaS และ ณ ขณะนี้ยังไม่มี Signature ใดที่สามารถตรวจจับมัลแวร์นี้ได้

แพร่กระจายผ่านทาง Phishing Email

Ransom32 แพร่กระจายไปยังระบบคอมพิวเตอร์ผ่านทางการส่งอีเมล Phishing ที่หลอกให้ผู้ใช้ดาวน์โหลดมัลแวร์เข้ามาโดยไม่รู้ตัว Ransom32 จะอยู่ในรูปของไฟล์บีบอัด WinRAR ที่สามารถแตกตัวเองได้ ไฟล์บีบอัดนี้มีขนาดค่อนข้างใหญ่กว่ามัลแวร์โดยทั่วไป คือ มีขนาดประมาณ 22 MB ประกอบด้วย Built-in Script ที่สามารถแตกไฟล์และสั่งรันตัวเองได้ทันที หนึ่งในนั้นคือ chrome.exe ซึ่งเป็นแกนหลักของมัลแวร์

พัฒนาโดยใช้ JavaScript

chrome.exe แท้ที่จริงแล้วคือแพ็กเกจของแอพพลิเคชันที่เขียนขึ้นโดยภาษาจาวาสคริปต์ ภายในนั้นคือ NW.js ซึ่งเป็น Framework สำหรับพัฒนาโปรแกรมหรือแอพพลิเคชัน Framework นี้ช่วยให้นักพัฒนาสามารถสร้างแอพพลิเคชันบน Desktop ผ่านทาง Node.js และใช้แอพพลิเคชันเหล่านั้นติดต่อกับระบบปฏิบัติการ ส่งผลให้แฮ็คเกอร์สามารถปรับเปลี่ยน Ransom32 ให้สามารถทำงานบนระบบปฏิบัติการใดก็ได้ แต่ในขณะนี้ เป้าหมายหลักของการโจมตีคือ Windows

ransom32_1

ควบคุมผ่านเครือข่าย Tor และเรียกค่าไถ่ผ่าน Bitcoin

การทำงานของ Ransom32 ยังคงคล้ายคลึงกับมัลแวร์เรียกค่าไถ่ประเภทอื่นๆ นั่นคือ เมื่อทำงานแล้ว จะทำงานค้นหาและเข้ารหัสไฟล์เอกสาร ไฟล์รูปภาพ หรือไฟล์มัลติมีเดียต่างๆ โดยใช้การเข้ารหัสแบบ AES (CTR Block Mode) ขนาด 128 บิท ซึ่งแต่ละไฟล์ก็จะใช้กุญแจเข้ารหัสที่แตกต่างกันออกไป และมีการเข้ารหัสกุญแจเหล่านั้นทั้งหมดด้วย Public Key ที่ใช้อัลกอริธึมแบบ RSA จาก C&C Server อีกครั้งหนึ่ง การแลกเปลี่ยนกุญแจสำหรับเข้ารหัสเหล่านี้กระทำผ่านเครือข่าย Tor เพื่อหลีกเลี่ยงการตรวจจับ และเรียกร้องค่าไถ่ผ่านทาง Bitcoin

มัลแวร์บนแนวคิด SaaS

ที่น่าสนใจคือ Ransom32 ถูกออกแบบมาบนแนวคิดของ Software-as-a-Service (SaaS) นั่นคือ บุคคลใดก็ตามสามารถสร้างมัลแวร์เป็นของตนเองได้ทันที โดยอาศัยการตั้งค่าต่างๆผ่านทางเว็บไซต์ที่ซ่อนอยู่ในเครือข่าย Tor สำหรับ Ransom32 นี้ ผู้ที่ต้องการสร้างมัลแวร์เพียงแค่ระบุชื่อบัญชี Bitcoin สำหรับเรียกค่าไถ่ แล้วเข้าไปปรับแต่งการตั้งค่าต่างๆ เช่น จำนวนเงินที่เรียกร้อง และข้อความที่ใช้แจ้งเตือน มัลแวร์เรียกค่าไถ่ Ransom32 ก็พร้อมให้ดาวน์โหลดไปแพร่กระจายต่อทันที

ransom32_2

ยังไม่มี Signature ใดที่สามารถตรวจจับได้

จากการที่ Ransom32 ถูกพัฒนาขึ้นโดยใช้ NW.js ซึ่งเป็น Framework ที่ใช้กันโดยทั่วไป ส่งผลให้มัลแวร์นี้สามารถหลบเลี่ยงการตรวจจับของระบบป้องกันภัยที่ใช้ Signature ได้ นอกจากนี้การบล็อกทั้งแอพพลิเคชันก็ไม่ใช่ทางออกที่ดีเพียงพอ คำแนะนำ ณ ตอนนี้คือ หมั่นสำรองข้อมูลบนระบบคอมพิวเตอร์อย่างสม่ำเสมอ ตรวจสอบอีเมลและไฟล์แนบให้ดีก่อนเปิดอ่าน รวมไปถึงไม่รันหรือดาวน์โหลดไฟล์ที่ไม่ทราบที่มาแน่ชัด

ที่มา: http://securityaffairs.co/wordpress/43250/cyber-crime/ransom32-crypto-ransomware.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Meta เตรียมปล่อยโมเดล AI รุ่นใหม่ เพิ่มความสามารถด้าน Coding หวังชน GPT-5.5

Meta เตรียมปล่อยโมเดล AI รุ่นใหม่ที่พัฒนาต่อยอดจาก Muse Spark โดย Alexandr Wang Chief AI Officer ของ Meta เปิดเผยผ่านแพลตฟอร์ม …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …