CDIC 2023

Ransom32 มัลแวร์เรียกค่าไถ่แบบ SaaS พัฒนาโดยใช้ JavaScript

emsisoft_logo

Emsisoft บริษัทแอนตี้ไวรัสชื่อดัง ได้ออกมาเผยแพร่มัลแวร์เรียกค่าไถ่ (Ransomware) ตัวใหม่ที่เพิ่งถูกค้นพบ เรียกว่า Ransom32 ซึ่งเป็นมัลแวร์รูปแบบใหม่ที่พัฒนาโดยใช้ภาษาจาวาสคริปต์ รับคำสั่งจาก C&C Server ผ่านเครือข่าย Tor ที่สำคัญคือ เป็นมัลแวร์ที่พัฒนาภายใต้แนวคิด SaaS และ ณ ขณะนี้ยังไม่มี Signature ใดที่สามารถตรวจจับมัลแวร์นี้ได้

แพร่กระจายผ่านทาง Phishing Email

Ransom32 แพร่กระจายไปยังระบบคอมพิวเตอร์ผ่านทางการส่งอีเมล Phishing ที่หลอกให้ผู้ใช้ดาวน์โหลดมัลแวร์เข้ามาโดยไม่รู้ตัว Ransom32 จะอยู่ในรูปของไฟล์บีบอัด WinRAR ที่สามารถแตกตัวเองได้ ไฟล์บีบอัดนี้มีขนาดค่อนข้างใหญ่กว่ามัลแวร์โดยทั่วไป คือ มีขนาดประมาณ 22 MB ประกอบด้วย Built-in Script ที่สามารถแตกไฟล์และสั่งรันตัวเองได้ทันที หนึ่งในนั้นคือ chrome.exe ซึ่งเป็นแกนหลักของมัลแวร์

พัฒนาโดยใช้ JavaScript

chrome.exe แท้ที่จริงแล้วคือแพ็กเกจของแอพพลิเคชันที่เขียนขึ้นโดยภาษาจาวาสคริปต์ ภายในนั้นคือ NW.js ซึ่งเป็น Framework สำหรับพัฒนาโปรแกรมหรือแอพพลิเคชัน Framework นี้ช่วยให้นักพัฒนาสามารถสร้างแอพพลิเคชันบน Desktop ผ่านทาง Node.js และใช้แอพพลิเคชันเหล่านั้นติดต่อกับระบบปฏิบัติการ ส่งผลให้แฮ็คเกอร์สามารถปรับเปลี่ยน Ransom32 ให้สามารถทำงานบนระบบปฏิบัติการใดก็ได้ แต่ในขณะนี้ เป้าหมายหลักของการโจมตีคือ Windows

ransom32_1

ควบคุมผ่านเครือข่าย Tor และเรียกค่าไถ่ผ่าน Bitcoin

การทำงานของ Ransom32 ยังคงคล้ายคลึงกับมัลแวร์เรียกค่าไถ่ประเภทอื่นๆ นั่นคือ เมื่อทำงานแล้ว จะทำงานค้นหาและเข้ารหัสไฟล์เอกสาร ไฟล์รูปภาพ หรือไฟล์มัลติมีเดียต่างๆ โดยใช้การเข้ารหัสแบบ AES (CTR Block Mode) ขนาด 128 บิท ซึ่งแต่ละไฟล์ก็จะใช้กุญแจเข้ารหัสที่แตกต่างกันออกไป และมีการเข้ารหัสกุญแจเหล่านั้นทั้งหมดด้วย Public Key ที่ใช้อัลกอริธึมแบบ RSA จาก C&C Server อีกครั้งหนึ่ง การแลกเปลี่ยนกุญแจสำหรับเข้ารหัสเหล่านี้กระทำผ่านเครือข่าย Tor เพื่อหลีกเลี่ยงการตรวจจับ และเรียกร้องค่าไถ่ผ่านทาง Bitcoin

มัลแวร์บนแนวคิด SaaS

ที่น่าสนใจคือ Ransom32 ถูกออกแบบมาบนแนวคิดของ Software-as-a-Service (SaaS) นั่นคือ บุคคลใดก็ตามสามารถสร้างมัลแวร์เป็นของตนเองได้ทันที โดยอาศัยการตั้งค่าต่างๆผ่านทางเว็บไซต์ที่ซ่อนอยู่ในเครือข่าย Tor สำหรับ Ransom32 นี้ ผู้ที่ต้องการสร้างมัลแวร์เพียงแค่ระบุชื่อบัญชี Bitcoin สำหรับเรียกค่าไถ่ แล้วเข้าไปปรับแต่งการตั้งค่าต่างๆ เช่น จำนวนเงินที่เรียกร้อง และข้อความที่ใช้แจ้งเตือน มัลแวร์เรียกค่าไถ่ Ransom32 ก็พร้อมให้ดาวน์โหลดไปแพร่กระจายต่อทันที

ransom32_2

ยังไม่มี Signature ใดที่สามารถตรวจจับได้

จากการที่ Ransom32 ถูกพัฒนาขึ้นโดยใช้ NW.js ซึ่งเป็น Framework ที่ใช้กันโดยทั่วไป ส่งผลให้มัลแวร์นี้สามารถหลบเลี่ยงการตรวจจับของระบบป้องกันภัยที่ใช้ Signature ได้ นอกจากนี้การบล็อกทั้งแอพพลิเคชันก็ไม่ใช่ทางออกที่ดีเพียงพอ คำแนะนำ ณ ตอนนี้คือ หมั่นสำรองข้อมูลบนระบบคอมพิวเตอร์อย่างสม่ำเสมอ ตรวจสอบอีเมลและไฟล์แนบให้ดีก่อนเปิดอ่าน รวมไปถึงไม่รันหรือดาวน์โหลดไฟล์ที่ไม่ทราบที่มาแน่ชัด

ที่มา: http://securityaffairs.co/wordpress/43250/cyber-crime/ransom32-crypto-ransomware.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ขอเชิญร่วมงานสัมมนาออนไลน์ Elevating Security with Akamai พบกับโซลูชันด้านความมั่นคงปลอดภัยที่ล้ำสมัยจาก Akamai Technologies [อังคารที่ 19 ธันวาคม 23] เวลา14.00 น.

ในยุคที่ภัยคุกคามทางไซเบอร์กำลังพัฒนาไปอย่างรวดเร็วอย่างที่ไม่เคยเกิดขึ้นมาก่อน ธุรกิจต่างๆ ต้องการโซลูชันความปลอดภัยที่แข็งแกร่งและครอบคลุมเพื่อปกป้องสินทรัพย์ดิจิทัลของบริษัท ขอเชิญผู้สนใจทุกท่านเข้าร่วมงานสัมมนาออนไลน์สุดพิเศษนี้ โดยท่านจะได้พบกับเทคโนโลยีการรักษาความปลอดภัยที่ล้ำสมัยจาก Akamai Technologies โดยมุ่งเน้นไปที่ความปลอดภัยของ API การปกป้องฝั่งไคลเอ็นต์ และตัวป้องกันบัญชี

ขอเชิญผู้สนใจเข้าร่วม งาน VSM365 | Softde’but Ep.18  ในหัวข้อ ❝ ปกป้ององค์กรของคุณ จากการโจมตีทางไซเบอร์ขั้นสูง ด้วย Proofpoint ❞

Softde’but ขอเชิญผู้สนใจเข้าร่วม งาน VSM365 | Softde’but Ep.18 ในหัวข้อ ❝ ปกป้ององค์กรของคุณ จากการโจมตีทางไซเบอร์ขั้นสูง ด้วย Proofpoint ❞ โดยงานจะจัดขึ้นในวันศุกร์ที่ …