Breaking News

ผู้เชี่ยวชาญพบแคมเปญมัลแวร์ ‘DarkGate’ เลี่ยงการตรวจจับด้วยเทคนิคซับซ้อน

enSilo บริษัทผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้ออกมาเตือนว่าพบแคมเปญมัลแวร์ที่เน้นการโขมยเงินดิจิทัลแต่เพรียบพร้อมด้วยฟีเจอร์อีกหลากหลาย เช่น การเชื่อมต่อรอคำสั่งจากเซิร์ฟเวอร์ ความสามารถขโมยรหัสผ่าน รวมถึงหลบเลี่ยงการตรวจจับของเครื่องมือป้องกัน โดยตั้งชื่อตามผู้พัฒนาว่า ‘DarkGate’

Credit: ShutterStock.com

มัลแวร์ถูกรายงานว่าได้ใช้ช่องทางไฟล์ Torrent ที่ได้รับความนิยมเพื่อกระจายไปหาเหยื่อ เช่น หนัง Walking Dead แต่แท้ที่จริงแล้วไฟล์ที่เหยื่อได้รับมานั้นจะไปทำการ Execute สคิร์ปต์ VB อันตราย โดยมัลแวร์ตัวนี้มีการใช้เทคนิคซับซ้อนหลายคุณสมบัติดังนี้

1.ทำงานเชื่อมต่อกับเซิร์ฟเวอร์สั่งการ (C2C) ทำให้รับคำสั่งได้จากทางไกลได้

2.เซิร์ฟเวอร์สั่งการตั้งอยู่ในบริการที่ปกติทั่วไปคือ Akamai และ AWS

3.คอยตรวจจับเงื่อนไขที่มักพบใน Sandbox หรือสภาพแวดล้อมจำลอง

4.มีเครื่องมือที่ชื่อ NirSoft เพื่อใช้ขโมย Credentials, Cookie ของ Browser, ประวัติการใช้งาน Browser และแชทของ Skype

5.ใช้เทคนิค Process Hollowing เพื่อหลบเลี่ยงการจรวจจับโปรเซสอันตราย (สร้างโปรเซสปกติขึ้นมาในสถานะ Suspend ก่อนแล้วค่อยแทนที่หน่วยความจำของโปรเซสด้วยโค้ดอีกชุดหนึ่งเพื่อไปรันแทน)

6.ใช้เครื่องมือ Recovery ป้องกันไม่ให้ไฟล์สำคัญที่ต้องใช้ในการปฏิบัติการถูกลบ

7.ใช้เทคนิคลัดผ่าน User Account Control (UAC) เพื่อยกระดับสิทธิ์ให้สามารถดาวน์โหลดและ Execute ส่วน Payload อื่นของมัลแวร์ได้

อย่างไรก็ตามขณะนี้เหยื่อคือผู้ใช้งาน Windows ในทวีปยุโรปนั่นเองและจากการวิเคราะห์ของนักวิจัยเชื่อว่าผู้โจมตีมีแรงจูงใจในด้านของการขโมยเงินดิจิทัลและใช้โจมตีเป้าหมายอย่างเฉพาะเจาะจงได้ ขณะเดียวกันก็คาดว่ามัลแวร์จะยังมีการพัฒนาเพิ่มเติมขึ้นในอนาคต

ที่มา : https://www.zdnet.com/article/this-stealthy-malware-circumvents-antivirus-software-to-steal-your-cryptocurrency/ และ https://www.scmagazine.com/home/security-news/darkgate-password-stealer-could-open-up-world-of-hurt-for-windows-users/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ฟรี eBook: “วัยใส วัยเก๋า ฉลาดรู้เน็ต 2” จาก ETDA

สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ. หรือ ETDA) เปิดตัว eBook เรื่อง “วัยใส วัยเก๋า ฉลาดรู้เน็ต 2” เพื่อสร้างความตระหนักในการใช้อินเทอร์เน็ตเพื่อเสริมสร้างรายได้ ในขณะที่รู้เท่าทันภัยคุกคามไซเบอร์ พร้อมภาพประกอบสวยงาม เข้าใจง่าย …

SSH, HTTP และ HTTPS 3 พอร์ตที่แฮ็กเกอร์ใช้โจมตี SMB มากที่สุด

Alert Logic ผู้ให้บริการ Threat Intelligence ออกรายงานด้านความมั่นคงปลอดภัยสำหรับธุรกิจ SMB โดยสำรวจข้อมูลจากเหตุการณ์ด้านไซเบอร์ที่เกิดขึ้นรวม 130,000 ครั้งจากลูกค้ากว่า 4,000 ราย พบว่าพอร์ตที่แฮ็กเกอร์ใช้เป็นช่องทางโจมตีมากที่สุุด คือ 22, …