พบมัลแวร์ขโมยรหัสผ่านติดเครื่องผู้ใช้ผ่านช่องโหว่ Microsoft Office ที่ยังไม่ได้แพตซ์

นักวิจัยจาก FireEye ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยได้วิเคราะห์การทำงานของ Zyklon หรือ มัลแวร์ที่ถูกออกแบบให้สามารถกู้คืนรหัสผ่านของโปรแกรม เช่น เว็บบราวน์เซอร์ ซอฟต์แวร์เกม บริการอีเมล โดยผู้โจมตีได้ใช้การแพร่กระจายมัลแวร์ด้วยการส่งอีเมลที่แนบมากับไฟล์ Zip ที่ภายในมีเอกสาร Word ต่อจากนั้นหากเหยื่อยังไม่ได้แพตซ์ช่องโหว่ Office แล้วเปิดเอกสารก็จะตกเป็นเหยื่อมัลแวร์นี้ดังนั้นแนะนำผู้ใช้ควรอัปเดต

ช่องโหว่ที่มัลแวร์ใช้เพื่อดำเนินปฏิบัติการนั้นคือ CVE-2017-11882 จะเกี่ยวกับ Microsoft Office ทำให้เกิดการ Remote Code Execution และอีกช่องโหว่นึงคือ CVE-2017-8759 ของ .NET Framework ทำให้แฮ็กเกอร์สามารถติดตั้งโปรแกรม เปลี่ยนแปลงข้อมูลและสร้างระดับสิทธิ์ของบัญชีใช้งานใหม่ได้ ซึ่งช่องโหว่ทั้งหมดนี้มีแพตซ์ตั้งแต่ปีที่แล้ว โดยมัลแวร์มีการทำงานแบบรอรับคำสั่งจากเซิร์ฟเวอร์ต้นทาง (C&C) ผ่านทางเครือข่าย Tor (เป็นเครือข่ายที่มุ่งเน้นความเป็น Anonymous) อย่างไรก็ตามมัลแวร์ตัวนี้ปรากฏขึ้นมื่อปี 2016 ซึ่งเป็นเครื่องมือที่ช่วยให้แฮ็กเกอร์สามารถปฏิบัติการที่ซับซ้อนได้ เช่น ดักจับการกดแป้นพิมพ์, Password Harvesting, ดาวน์โหลดและ Execute Plugin เพิ่มเติมอื่นๆ, Hijack คลิปบอร์ดของที่อยู่ Bitcoin อีกทั้งยังกู้คืนรหัสผ่าน FTP Email และ Browser ได้ สามารถดูเอกสารฉบับเต็มจาก FireEye ได้ที่นี่ 

ที่มา : https://www.scmagazine.com/zyklon-malware-steals-passwords-from-popular-web-browsers/article/737970/ และ https://www.infosecurity-magazine.com/news/zyklon-spreads-using-microsoft/