Malware Shylock ที่ทำการแอบแฝงในเครื่องลูกข่าย เพื่อทำการโจมตีแบบ Man-in-the-Middle และปลอมแปลง Certificate เพื่อดัก Traffic การใช้งานเครือข่าย และทำการ Inject โค้ดที่เป็นอันตราย (Malicious Code) ลงไปในเว็บไซต์ของธนาคาร และทำการขโมย Credential ต่างๆ ในการทำธุรกรรมไปได้นั้น ได้ถูกพัฒนาเพื่อหลบเลี่ยงระบบ Sandbox โดย Shylock จะพยายามทำการตรวจสอบว่ามันกำลังทำงานอยู่บน Virtual Machine หรือไม่ และไม่เปิดเผยพฤติกรรมเสี่ยงออกมาถ้าหากกำลังทำงานอยู่บน Virtual Machine ที่อาจเป็นส่วนหนึ่งของ Sandbox ได้
ทางทีมงานวิศวกรของ Comodo ได้ออกมาเปิดเผยการยับยั้ง Malware ชนิดนี้ได้ด้วย Comodo Endpoint Security Manager เป็นที่เรียบร้อยแล้ว
โดยทั่วไป Shylock มีขั้นตอนการทำงานดังนี้
1. Shylock พยายามทำการ Inject Code ลงไปยังเว็บไซต์ของธนาคารจากเครื่องของลูกข่าย และปลอมตัวเป็นเว็บไซต์ธนาคารที่ผู้ใช้งานกำลังเรียกใช้งาน
2. Shylock ทำการรวบรวมข้อมูล Login, รหัสผ่าน, ข้อมูลบัตรเครดิต และข้อมูลส่วนตัวอื่นๆ
3. Shylock ทำการส่งข้อมูลเหล่านี้ไปยังผู้โจมตี
แต่เมื่อเครื่องลูกข่ายมีการปกป้องด้วย Comodo Endpoint Security Manager ที่มีเทคโนโลยี Containment ที่พัฒนามาเป็นพิเศษ ก็จะสามารถยับยั้งการโจมตีของ Shylock ได้ดังนี้
1. Shylock พยายามทำการ Inject Code ลงไปยังเว็บไซต์ของธนาคารจากเครื่องของลูกข่าย และปลอมตัวเป็นเว็บไซต์ธนาคารที่ผู้ใช้งานกำลังเรียกใช้งาน
2. Shylock ไม่สามารถทำการ Inject Code ได้สำเร็จ เพราะเป็น Application ที่องค์กรไม่รู้จัก จึงไม่มีสิทธิ์ในการแก้ไขข้อมูลใดๆ หรือโค้ดของ Process อื่นทั้งสิ้น
3. Shylock ล้มเหลวในการโจมตี
สำหรับ SI ที่สนใจทดสอบผลิตภัณฑ์หรือสมัครเป็น Reseller และองค์กรที่อยากทดสอบระบบรักษาความปลอดภัยของ Comodo สามารถติดต่อทีมงาน Comodo Thailand ได้ทันทีที่คุณภัทร์ธีนันท์ (เหมย) ที่เบอร์โทร 083-068-6507 หรืออีเมลล์ patteenun@comodothailand.com ได้ทันที
ข้อมูลเพิ่มเติม
- Comodo Thailand Website http://www.comodothailand.com
ที่มา: https://www.comodo.com/news/press_releases/2015/07/shylock-malware-versus-comodo-containment.html