พบมัลแวร์ขโมยรหัสผ่านติดเครื่องผู้ใช้ผ่านช่องโหว่ Microsoft Office ที่ยังไม่ได้แพตซ์

นักวิจัยจาก FireEye ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยได้วิเคราะห์การทำงานของ Zyklon หรือ มัลแวร์ที่ถูกออกแบบให้สามารถกู้คืนรหัสผ่านของโปรแกรม เช่น เว็บบราวน์เซอร์ ซอฟต์แวร์เกม บริการอีเมล โดยผู้โจมตีได้ใช้การแพร่กระจายมัลแวร์ด้วยการส่งอีเมลที่แนบมากับไฟล์ Zip ที่ภายในมีเอกสาร Word ต่อจากนั้นหากเหยื่อยังไม่ได้แพตซ์ช่องโหว่ Office แล้วเปิดเอกสารก็จะตกเป็นเหยื่อมัลแวร์นี้ดังนั้นแนะนำผู้ใช้ควรอัปเดต

credit : FireEye Blog

ช่องโหว่ที่มัลแวร์ใช้เพื่อดำเนินปฏิบัติการนั้นคือ CVE-2017-11882 จะเกี่ยวกับ Microsoft Office ทำให้เกิดการ Remote Code Execution และอีกช่องโหว่นึงคือ CVE-2017-8759 ของ .NET Framework ทำให้แฮ็กเกอร์สามารถติดตั้งโปรแกรม เปลี่ยนแปลงข้อมูลและสร้างระดับสิทธิ์ของบัญชีใช้งานใหม่ได้ ซึ่งช่องโหว่ทั้งหมดนี้มีแพตซ์ตั้งแต่ปีที่แล้ว โดยมัลแวร์มีการทำงานแบบรอรับคำสั่งจากเซิร์ฟเวอร์ต้นทาง (C&C) ผ่านทางเครือข่าย Tor (เป็นเครือข่ายที่มุ่งเน้นความเป็น Anonymous) อย่างไรก็ตามมัลแวร์ตัวนี้ปรากฏขึ้นมื่อปี 2016 ซึ่งเป็นเครื่องมือที่ช่วยให้แฮ็กเกอร์สามารถปฏิบัติการที่ซับซ้อนได้ เช่น ดักจับการกดแป้นพิมพ์, Password Harvesting, ดาวน์โหลดและ Execute Plugin เพิ่มเติมอื่นๆ, Hijack คลิปบอร์ดของที่อยู่ Bitcoin อีกทั้งยังกู้คืนรหัสผ่าน FTP Email และ Browser ได้ สามารถดูเอกสารฉบับเต็มจาก FireEye ได้ที่นี่ 

ที่มา : https://www.scmagazine.com/zyklon-malware-steals-passwords-from-popular-web-browsers/article/737970/ และ https://www.infosecurity-magazine.com/news/zyklon-spreads-using-microsoft/ 



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Cisco เพิ่มความสามารถให้ Network Insights ยกระดับการป้องกันปัญหาแบบ Proactive

Cisco ได้เเผยความสามารถใหม่ในฟังก์ชัน Network Insights ใน Data Center Network Assurance ให้สามารถรวบรวมข้อมูลในเครือข่าย แจ้งเตือน และระบุปัญหา ได้ก่อนเกิดเหตุ

Cisco แพตช์ช่องโหว่ร้ายแรงใน Firepower Management และผลิตภัณฑ์อื่นกว่า 26 รายการแนะผู้ใช้เร่งอัปเดต

Cisco ได้ประกาศ Advisory สำหรับช่องโหว่ต่างๆ กว่า 27 รายการ โดยมีช่องโหว่ร้ายแรง 1 รายการกระทบกับซอฟต์แวร์ Firepower Management Center จึงแนะนำให้ผู้ใช้งานเร่งอัปเดตครับ