Work from Home กับ Malware ตัวใหม่ที่แฝงมาในแอพติดต่อสื่อสาร

ในช่วง Covid-19 ที่คนรวมใหญ่ Work from Home และได้มีการนำเทคโนโลยี แอพต่าง ๆ เข้าใช้งาน เพื่อให้ง่ายต่อการติดต่อสื่อสาร รวมถึงการทำงานให้มีประสิทธิภาพ แต่ในสถานการณ์เช่นนี้ยังมีกลุ่มผู้ไม่ประสงค์ดี จากรายงานมีการพบเจอ Malware ที่แฝงมากับแอพเพื่อการติดต่อสื่อสาร เช่น Zoom, Slack, Discord ซึ่งเป็นแอพที่มีความจำเป็นในการติดต่อสื่อสาร ดังนั้นการใช้ช่องโหว่ในการติดตั้ง หรือ แฝงตัว ในจังหวะที่ผู้ใช้งานไม่ทันระวังตรวจสอบ ในบทความนี้เราจะพาไปดูเทคนิคการโจมตีในประเภทต่าง ๆ

Zoom

เทคนิคการโจมตีที่เกี่ยวข้องกับการซูมที่พบบ่อยที่สุดคือการใช้โปรแกรมติดตั้ง Zoom ที่มาพร้อมกับมัลแวร์ ในบางกรณีผู้โจมตีใช้โปรแกรมติดตั้ง Zoom ปลอมเพื่อหลอกให้ผู้ใช้ติดตั้งลงในเครื่องของตน เราพบตัวอย่างนี้ในเดือนพฤษภาคมหลังจากพบตัวอย่างไฟล์มัลแวร์ที่ปลอมตัวเป็นโปรแกรมติดตั้ง Zoom ปลอม แม้ว่าผู้ใช้ทั่วไปจะแยกแยะแอพ Zoom ที่ถูกต้องออกจากแอพปลอมได้ยาก แต่การตรวจสอบอย่างใกล้ชิดแสดงให้เห็นว่าเวอร์ชั่นที่เป็นอันตรายมีขนาดไฟล์ที่ใหญ่กว่าอย่างเห็นได้ชัด

หนึ่งในตัวอย่างมัลแวร์ (Trojan.Win32.ZAPIZ.A) เป็นแบ็คดอร์ที่มีคุณสมบัติการเข้าถึงระยะไกลทำให้ผู้โจมตีสามารถเข้าถึงเครื่องที่ติดไวรัสเพื่อดำเนินการที่เป็นอันตรายเช่นการขโมยข้อมูล

อีกตัวอย่างหนึ่ง(Backdoor.Win32.DEVILSHADOW.THEAABO) มีตัวติดตั้งที่ประกอบด้วยไฟล์ที่มีคำสั่งที่เป็นอันตราย ที่น่าสนใจคือตัวติดตั้งที่ถูกบุกรุกทั้งสองได้ติดตั้ง Zoom เวอร์ชันที่ถูกต้องซึ่งมีแนวโน้มที่จะซ่อนหลักฐานของกิจกรรมที่เป็นอันตรายจากผู้ใช้

Slack

Slack มีผู้ใช้งานมากกว่า 10 ล้านคนต่อวันในปี 2019 อย่างไรก็ตามเรายังพบหลักฐานของผู้ไม่ประสงค์ดีที่ใช้คุณสมบัติบางอย่าง เมื่อเร็ว ๆ นี้เราพบแรนซัมแวร์ (Ransom.Win32.CRYPREN.C) ความสามารถของมันคือเข้ารหัสไฟล์ที่มีนามสกุลต่างๆได้ และเรียกค่าไถ่จากเรา

สิ่งที่ทำให้ Crypren น่าสนใจคือการใช้ Slack webhooks เพื่อรายงานสถานะการเข้ารหัสของเหยื่อกลับไปที่เซิร์ฟเวอร์ command-and-control (C&C) ซึ่งเป็นเทคนิคที่ไม่เคยพบมาก่อน

Discord

Discord เป็นซอฟต์แวร์การสื่อสารที่มีคุณสมบัติคล้ายกันกับ Slack (ในขณะที่ยังมีความโดดเด่นในเรื่องการใช้งานอย่างแพร่หลายในชุมชนเกม) เราพบตัวอย่างที่แสดงให้เห็นว่าผู้ไม่ประสงค์ดีใช้ Discord เป็นส่วนหนึ่งของแคมเปญที่เกี่ยวข้องกับอีเมลขยะที่เป็นอันตราย

โดยทั่วไปแล้วอีเมลที่เป็นอันตรายอาจเป็นได้ทั้งการแจ้งเตือนการจัดส่งทางไปรษณีย์หรือใบแจ้งหนี้ที่มีสิ่งที่แนบมาในธีม DHL หรือ TNT (บริษัทขนส่ง)

อีเมลเหล่านี้มาพร้อมกับลิงก์แบบฝังไม่ว่าจะอยู่ในรูปภาพหรือข้อความซึ่งชี้ไปยัง URL ของ Discord ในรูปแบบต่อไปนี้: hxxps: // cdn [.] discordapp [.] com / attachments / {ChannelID} / {AttachmentID} / ตัวอย่าง [.] exe. URL เหล่านี้ใช้เพื่อโฮสต์ AveMaria และ AgentTesla ซึ่งจะติดเครื่องของผู้ใช้เมื่อพวกเขาคลิกที่ลิ้งค์

ที่มา : trendmicro.com