ผู้เชี่ยวชาญพบแคมเปญมัลแวร์ ‘DarkGate’ เลี่ยงการตรวจจับด้วยเทคนิคซับซ้อน

enSilo บริษัทผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้ออกมาเตือนว่าพบแคมเปญมัลแวร์ที่เน้นการโขมยเงินดิจิทัลแต่เพรียบพร้อมด้วยฟีเจอร์อีกหลากหลาย เช่น การเชื่อมต่อรอคำสั่งจากเซิร์ฟเวอร์ ความสามารถขโมยรหัสผ่าน รวมถึงหลบเลี่ยงการตรวจจับของเครื่องมือป้องกัน โดยตั้งชื่อตามผู้พัฒนาว่า ‘DarkGate’

มัลแวร์ถูกรายงานว่าได้ใช้ช่องทางไฟล์ Torrent ที่ได้รับความนิยมเพื่อกระจายไปหาเหยื่อ เช่น หนัง Walking Dead แต่แท้ที่จริงแล้วไฟล์ที่เหยื่อได้รับมานั้นจะไปทำการ Execute สคิร์ปต์ VB อันตราย โดยมัลแวร์ตัวนี้มีการใช้เทคนิคซับซ้อนหลายคุณสมบัติดังนี้

1.ทำงานเชื่อมต่อกับเซิร์ฟเวอร์สั่งการ (C2C) ทำให้รับคำสั่งได้จากทางไกลได้

2.เซิร์ฟเวอร์สั่งการตั้งอยู่ในบริการที่ปกติทั่วไปคือ Akamai และ AWS

3.คอยตรวจจับเงื่อนไขที่มักพบใน Sandbox หรือสภาพแวดล้อมจำลอง

4.มีเครื่องมือที่ชื่อ NirSoft เพื่อใช้ขโมย Credentials, Cookie ของ Browser, ประวัติการใช้งาน Browser และแชทของ Skype

5.ใช้เทคนิค Process Hollowing เพื่อหลบเลี่ยงการจรวจจับโปรเซสอันตราย (สร้างโปรเซสปกติขึ้นมาในสถานะ Suspend ก่อนแล้วค่อยแทนที่หน่วยความจำของโปรเซสด้วยโค้ดอีกชุดหนึ่งเพื่อไปรันแทน)

6.ใช้เครื่องมือ Recovery ป้องกันไม่ให้ไฟล์สำคัญที่ต้องใช้ในการปฏิบัติการถูกลบ

7.ใช้เทคนิคลัดผ่าน User Account Control (UAC) เพื่อยกระดับสิทธิ์ให้สามารถดาวน์โหลดและ Execute ส่วน Payload อื่นของมัลแวร์ได้

อย่างไรก็ตามขณะนี้เหยื่อคือผู้ใช้งาน Windows ในทวีปยุโรปนั่นเองและจากการวิเคราะห์ของนักวิจัยเชื่อว่าผู้โจมตีมีแรงจูงใจในด้านของการขโมยเงินดิจิทัลและใช้โจมตีเป้าหมายอย่างเฉพาะเจาะจงได้ ขณะเดียวกันก็คาดว่ามัลแวร์จะยังมีการพัฒนาเพิ่มเติมขึ้นในอนาคต

ที่มา : https://www.zdnet.com/article/this-stealthy-malware-circumvents-antivirus-software-to-steal-your-cryptocurrency/ และ https://www.scmagazine.com/home/security-news/darkgate-password-stealer-could-open-up-world-of-hurt-for-windows-users/