BazarLoader มัลแวร์ที่แฝงมากับแอพฯ Slack และ BaseCamp
2021.05.05
BazarLoader มัลแวร์ที่แฝงมากับแอพฯ Slack และ BaseCamp
BazarLoader มัลแวร์ที่แฝงมากับแอพฯ Slack และ BaseCamp ที่ใช้ทำงานในช่วง Remote work หรือ Work from Home โดยจะทำการหลอกล่อเหยื่อให้หลงเชื่อ และคลิ๊กลิ้งเพื่อติดตั้งมัลแวร์ผ่านแอพฯ นอกจากนี้ยังมีการประยุกต์ใช้ voice-call เพื่อมาช่วยหลอกล่อเหยื่อให้ตายใจอีกด้วย
BazarLoader เขียนด้วย C ++ มีหน้าที่หลักในการดาวน์โหลดและเรียกใช้โมดูลเพิ่มเติม BazarLoader ถูกพบครั้งแรกในช่วงเดือนเมษายนที่ผ่านมา และตั้งแต่นั้นเป็นต้นมานักวิจัยได้สังเกตเห็นการทำงานอย่างน้อย 6 คำสั่ง “เป็นการส่งสัญญาณว่ามีการใช้งาน และมีการพัฒนาอย่างต่อเนื่อง”
เมื่อไม่นานมานี้มีการใช้มัลแวร์ในการจัดเตรียมแรนซัมแวร์โดยเฉพาะ “ ด้วยการมุ่งเน้นไปที่เป้าหมายในองค์กรขนาดใหญ่ BazarLoader อาจถูกใช้เพื่อโจมตี ransomware ในภายหลัง” ตามคำแนะนำจาก Sophos
การโจมตีที่แฝงมากับ Slack และ BaseCamp
ตามที่นักวิจัยของ Sophos ระบุในแคมเปญแรกที่พบว่าผู้ไม่หวังดีจะกำหนดเป้าหมายไปที่พนักงานขององค์กรขนาดใหญ่ด้วยอีเมลที่อ้างว่าจะเสนอข้อมูลสำคัญที่เกี่ยวข้องกับสัญญาการบริการลูกค้า ใบแจ้งหนี้ หรือ การจ่ายเงินเดือน
“ตัวอย่างสแปมหนึ่งรายการพยายามปลอมตัวเป็นการแจ้งเตือนว่าพนักงานถูกปลดออกจากงาน” Sophos กล่าว
ลิงก์ภายในอีเมลนั้นจะถูกโฮสต์บนที่เก็บข้อมูลบนคลาวด์ของ Slack หรือ BaseCamp ซึ่งหมายความว่าลิงก์เหล่านี้อาจดูถูกต้องหากเป้าหมายทำงานในองค์กรที่ใช้แพลตฟอร์มใดแพลตฟอร์มหนึ่ง ในยุค Remote work ยิ่งดูน่าเชื่อถือ
หากเป้าหมายคลิกที่ลิงก์ BazarLoader จะดาวน์โหลดและดำเนินการบนเครื่องของเหยื่อ โดยทั่วไปลิงก์จะชี้โดยตรงไปยังไฟล์ปฏิบัติการที่เซ็นชื่อแบบดิจิทัลโดยมีกราฟิก Adobe PDF เป็นไอคอน ไฟล์เหล่านี้มักจะขยายอุบายโดยมีชื่อเช่น presentation-document.exe, preview-document- [number] .exe หรือ annualreport.exe นักวิจัยตั้งข้อสังเกต
‘BazarCall’ แคมเปญ
ในแคมเปญที่สอง Sophos พบว่าข้อความสแปมนั้นปราศจากสิ่งที่น่าสงสัย: ไม่มีข้อมูลส่วนบุคคลใด ๆ รวมอยู่ในเนื้อหาของอีเมลไม่มีลิงก์และไม่มีไฟล์แนบ
“ข้อความทั้งหมดอ้างว่าการทดลองใช้ฟรีสำหรับบริการออนไลน์ที่ผู้รับอ้างว่ากำลังใช้อยู่จะหมดอายุในวันถัดไปหรือสองวันถัดไปและฝังหมายเลขโทรศัพท์ที่ผู้รับต้องโทรเพื่อที่จะเลือกไม่รับบริการที่มีค่าใช้จ่ายสูง การต่ออายุ” นักวิจัยอธิบาย
หากเป้าหมายตัดสินใจที่จะรับโทรศัพท์บุคคลที่เป็นมิตรอีกด้านหนึ่งจะให้ที่อยู่เว็บไซต์แก่พวกเขาซึ่งในไม่ช้าผู้ตกเป็นเหยื่ออาจยกเลิกการสมัครรับบริการได้
“เว็บไซต์ที่ออกแบบมาอย่างดีและดูเป็นมืออาชีพฝังปุ่มยกเลิกการสมัครไว้ในหน้าคำถามที่พบบ่อย” Sophos กล่าว “ การคลิกปุ่มนั้นจะส่งเอกสาร Office ที่เป็นอันตราย (ไม่ว่าจะเป็นเอกสาร Word หรือสเปรดชีต Excel) ซึ่งเมื่อเปิดขึ้นจะทำให้คอมพิวเตอร์ติดมัลแวร์ BazarLoader เดียวกัน”
ที่มา : https://threatpost.com
บทความที่เกี่ยวข้อง
ข่าว
ความปลอดภัย
มัลแวร์ Octo2 ตัวใหม่คุกคามความปลอดภัยของธนาคารบนมือถือ
นักวิจัย ThreatFabric พบว่าตัวแปรนี้ลดเวลาแฝงได้อย่างมากระหว่างเซสชันการควบคุมระยะไกล แม้ภายใต้สภาวะเครือข่ายที่ไม่ดีก็ตาม ด้วยการเพิ่มประสิทธิภาพการส่งข้อมูล นอกจากนี้ Octo2 ยังบูรณาการเทคนิคการบดบังขั้นสูง รวมถึงอัลกอริทึมการสร้างโดเมน (DGA) ซึ่งทำให้มัลแวร์สามารถเปลี่ยนที่อยู่เซิร์ฟเวอร์คำสั่งและการควบคุม (C2) แบบไดนามิก ทำให้การตรวจจับมีความท้าทายยิ่งขึ้น
2024.09.27
ข่าว
บริการใหม่
โปรโมชั่น
สรุปข่าวลือ iPhone 16 Series มีอะไรใหม่บ้าง มีจำหน่ายแล้ววันนี้ !
2024.09.24
ข่าว
ความปลอดภัย
ตำรวจสิงคโปร์จับกุมแฮกเกอร์ 6 รายที่เชื่อมโยงกับกลุ่มอาชญากรไซเบอร์ระดับโลก
ชายทั้ง 6 คน อายุระหว่าง 32-42 ปี ถูกสงสัยว่ามีส่วนเกี่ยวข้องกับ "กลุ่มอาชญากรระดับโลก" ที่ก่ออาชญากรรมไซเบอร์ จากปฏิบัติการดังกล่าว ทางการได้ยึดอุปกรณ์อิเล็กทรอนิกส์และเงินสดได้ นอกจากนี้ ชายสัญชาติสิงคโปร์ยังถูกตั้งข้อหาสนับสนุนการเข้าถึงเว็บไซต์โดยไม่ได้รับอนุญาต ซึ่งเป็นความผิดที่ต้องรับโทษปรับไม่เกิน 5,000 ดอลลาร์สิงคโปร์ (3,830 ดอลลาร์สหรัฐ) หรือจำคุกไม่เกิน 2 ปี หรือทั้งจำทั้งปรับ สำหรับผู้กระทำผิดครั้งแรก
2024.09.12
