ผู้เชี่ยวชาญพบแคมเปญมัลแวร์ ‘DarkGate’ เลี่ยงการตรวจจับด้วยเทคนิคซับซ้อน

enSilo บริษัทผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้ออกมาเตือนว่าพบแคมเปญมัลแวร์ที่เน้นการโขมยเงินดิจิทัลแต่เพรียบพร้อมด้วยฟีเจอร์อีกหลากหลาย เช่น การเชื่อมต่อรอคำสั่งจากเซิร์ฟเวอร์ ความสามารถขโมยรหัสผ่าน รวมถึงหลบเลี่ยงการตรวจจับของเครื่องมือป้องกัน โดยตั้งชื่อตามผู้พัฒนาว่า ‘DarkGate’

Credit: ShutterStock.com

มัลแวร์ถูกรายงานว่าได้ใช้ช่องทางไฟล์ Torrent ที่ได้รับความนิยมเพื่อกระจายไปหาเหยื่อ เช่น หนัง Walking Dead แต่แท้ที่จริงแล้วไฟล์ที่เหยื่อได้รับมานั้นจะไปทำการ Execute สคิร์ปต์ VB อันตราย โดยมัลแวร์ตัวนี้มีการใช้เทคนิคซับซ้อนหลายคุณสมบัติดังนี้

1.ทำงานเชื่อมต่อกับเซิร์ฟเวอร์สั่งการ (C2C) ทำให้รับคำสั่งได้จากทางไกลได้

2.เซิร์ฟเวอร์สั่งการตั้งอยู่ในบริการที่ปกติทั่วไปคือ Akamai และ AWS

3.คอยตรวจจับเงื่อนไขที่มักพบใน Sandbox หรือสภาพแวดล้อมจำลอง

4.มีเครื่องมือที่ชื่อ NirSoft เพื่อใช้ขโมย Credentials, Cookie ของ Browser, ประวัติการใช้งาน Browser และแชทของ Skype

5.ใช้เทคนิค Process Hollowing เพื่อหลบเลี่ยงการจรวจจับโปรเซสอันตราย (สร้างโปรเซสปกติขึ้นมาในสถานะ Suspend ก่อนแล้วค่อยแทนที่หน่วยความจำของโปรเซสด้วยโค้ดอีกชุดหนึ่งเพื่อไปรันแทน)

6.ใช้เครื่องมือ Recovery ป้องกันไม่ให้ไฟล์สำคัญที่ต้องใช้ในการปฏิบัติการถูกลบ

7.ใช้เทคนิคลัดผ่าน User Account Control (UAC) เพื่อยกระดับสิทธิ์ให้สามารถดาวน์โหลดและ Execute ส่วน Payload อื่นของมัลแวร์ได้

อย่างไรก็ตามขณะนี้เหยื่อคือผู้ใช้งาน Windows ในทวีปยุโรปนั่นเองและจากการวิเคราะห์ของนักวิจัยเชื่อว่าผู้โจมตีมีแรงจูงใจในด้านของการขโมยเงินดิจิทัลและใช้โจมตีเป้าหมายอย่างเฉพาะเจาะจงได้ ขณะเดียวกันก็คาดว่ามัลแวร์จะยังมีการพัฒนาเพิ่มเติมขึ้นในอนาคต

ที่มา : https://www.zdnet.com/article/this-stealthy-malware-circumvents-antivirus-software-to-steal-your-cryptocurrency/ และ https://www.scmagazine.com/home/security-news/darkgate-password-stealer-could-open-up-world-of-hurt-for-windows-users/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …