Black Hat Asia 2023

ผู้เชี่ยวชาญพบแคมเปญมัลแวร์ ‘DarkGate’ เลี่ยงการตรวจจับด้วยเทคนิคซับซ้อน

enSilo บริษัทผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้ออกมาเตือนว่าพบแคมเปญมัลแวร์ที่เน้นการโขมยเงินดิจิทัลแต่เพรียบพร้อมด้วยฟีเจอร์อีกหลากหลาย เช่น การเชื่อมต่อรอคำสั่งจากเซิร์ฟเวอร์ ความสามารถขโมยรหัสผ่าน รวมถึงหลบเลี่ยงการตรวจจับของเครื่องมือป้องกัน โดยตั้งชื่อตามผู้พัฒนาว่า ‘DarkGate’

Credit: ShutterStock.com

มัลแวร์ถูกรายงานว่าได้ใช้ช่องทางไฟล์ Torrent ที่ได้รับความนิยมเพื่อกระจายไปหาเหยื่อ เช่น หนัง Walking Dead แต่แท้ที่จริงแล้วไฟล์ที่เหยื่อได้รับมานั้นจะไปทำการ Execute สคิร์ปต์ VB อันตราย โดยมัลแวร์ตัวนี้มีการใช้เทคนิคซับซ้อนหลายคุณสมบัติดังนี้

1.ทำงานเชื่อมต่อกับเซิร์ฟเวอร์สั่งการ (C2C) ทำให้รับคำสั่งได้จากทางไกลได้

2.เซิร์ฟเวอร์สั่งการตั้งอยู่ในบริการที่ปกติทั่วไปคือ Akamai และ AWS

3.คอยตรวจจับเงื่อนไขที่มักพบใน Sandbox หรือสภาพแวดล้อมจำลอง

4.มีเครื่องมือที่ชื่อ NirSoft เพื่อใช้ขโมย Credentials, Cookie ของ Browser, ประวัติการใช้งาน Browser และแชทของ Skype

5.ใช้เทคนิค Process Hollowing เพื่อหลบเลี่ยงการจรวจจับโปรเซสอันตราย (สร้างโปรเซสปกติขึ้นมาในสถานะ Suspend ก่อนแล้วค่อยแทนที่หน่วยความจำของโปรเซสด้วยโค้ดอีกชุดหนึ่งเพื่อไปรันแทน)

6.ใช้เครื่องมือ Recovery ป้องกันไม่ให้ไฟล์สำคัญที่ต้องใช้ในการปฏิบัติการถูกลบ

7.ใช้เทคนิคลัดผ่าน User Account Control (UAC) เพื่อยกระดับสิทธิ์ให้สามารถดาวน์โหลดและ Execute ส่วน Payload อื่นของมัลแวร์ได้

อย่างไรก็ตามขณะนี้เหยื่อคือผู้ใช้งาน Windows ในทวีปยุโรปนั่นเองและจากการวิเคราะห์ของนักวิจัยเชื่อว่าผู้โจมตีมีแรงจูงใจในด้านของการขโมยเงินดิจิทัลและใช้โจมตีเป้าหมายอย่างเฉพาะเจาะจงได้ ขณะเดียวกันก็คาดว่ามัลแวร์จะยังมีการพัฒนาเพิ่มเติมขึ้นในอนาคต

ที่มา : https://www.zdnet.com/article/this-stealthy-malware-circumvents-antivirus-software-to-steal-your-cryptocurrency/ และ https://www.scmagazine.com/home/security-news/darkgate-password-stealer-could-open-up-world-of-hurt-for-windows-users/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Video] NCSA Webinar Series EP.8 – WAAP ช่วยยกระดับ Security Posture ขององค์กรได้อย่างไร

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย NCSA Webinar Series EP.8 เรื่อง “WAAP ช่วยยกระดับ Security Posture ขององค์กรได้อย่างไร” ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง สามารถเข้าชมวิดีโอบันทึกย้อนหลังได้ที่บทความนี้ครับ

CDNetworks ประกาศการสนับสนุนแพลตฟอร์มเต็มรูปแบบสำหรับ QUIC และ HTTP/3 ทำให้การสตรีมสดราบรื่นและเข้าถึงได้มากกว่าที่เคย

ด้วยเวลาตอบสนองที่เร็วขึ้นและการเข้าถึงที่มากขึ้นเพื่อเพิ่มช่วงและการรับสัญญาณสูงสุดในสภาพพื้นที่ที่มีแนวโน้มที่มีสภาพเครือข่ายที่ไม่เอื้ออำนวย การเชื่อมต่ออินเทอร์เน็ตรูปแบบ Quick UDP (QUIC) จึงพร้อมที่จะยกระดับความสามารถในการสตรีมสดของ CDNetworks ไปสู่อีกระดับ