Wpeeper มัลแวร์ Android ใช้ไซต์ WordPress ที่ถูกบุกรุกเพื่อซ่อนเซิร์ฟเวอร์ C2
2024.05.10
Wpeeper มัลแวร์ Android ใช้ไซต์ WordPress ที่ถูกบุกรุกเพื่อซ่อนเซิร์ฟเวอร์ C2
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบมัลแวร์ที่ไม่มีเอกสารซึ่งก่อนหน้านี้กำหนดเป้าหมายไปที่อุปกรณ์ Android ที่ใช้ไซต์ WordPress ที่ถูกบุกรุกเป็นรีเลย์สำหรับเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) จริงสำหรับการหลบเลี่ยงการตรวจจับ
มัลแวร์ชื่อรหัสว่าWpeeperเป็นไบนารีของ ELF ที่ใช้ประโยชน์จากโปรโตคอล HTTPS เพื่อรักษาความปลอดภัยการสื่อสาร C2
“Wpeeper เป็นโทรจันลับๆ ทั่วไปสำหรับระบบ Android ซึ่งรองรับฟังก์ชันต่างๆ เช่น การรวบรวมข้อมูลอุปกรณ์ที่ละเอียดอ่อน การจัดการไฟล์และไดเร็กทอรี การอัพโหลดและดาวน์โหลด และการดำเนินการคำสั่ง” นักวิจัยจากทีม QiAnXin XLab กล่าว
ไบนารี ELF ถูกฝังอยู่ในแอปพลิเคชันที่บรรจุใหม่ซึ่งอ้างว่าเป็น แอป UPtodown App Storeสำหรับ Android (ชื่อแพ็คเกจ “com.uptodown”) โดยมีไฟล์ APK ทำหน้าที่เป็นพาหนะในการจัดส่งสำหรับประตูหลังในลักษณะที่หลบเลี่ยงการตรวจจับ
บริษัทรักษาความปลอดภัยทางไซเบอร์ของจีนกล่าวว่าค้นพบมัลแวร์หลังจากตรวจพบสิ่งประดิษฐ์ Wpeeperที่ไม่มีการตรวจจับบนแพลตฟอร์ม VirusTotal เมื่อวันที่ 18 เมษายน 2024 กล่าวกันว่าแคมเปญดังกล่าวสิ้นสุดลงอย่างกะทันหันในอีกสี่วันต่อมา
การใช้แอป Uptodown App Store สำหรับแคมเปญบ่งบอกถึงความพยายามที่จะส่งต่อตลาดแอปบุคคลที่สามที่ถูกต้องตามกฎหมาย และหลอกให้ผู้ใช้ที่ไม่สงสัยติดตั้งแอปดังกล่าว ตามสถิติบน Android-apk.org พบว่าแอปเวอร์ชันโทรจัน (5.92) ได้รับการดาวน์โหลดแล้ว 2,609 ครั้ง
Wpeeper อาศัยสถาปัตยกรรม C2 หลายระดับที่ใช้ไซต์ WordPress ที่ติดไวรัสเป็นตัวกลางในการปิดบังเซิร์ฟเวอร์ C2 ที่แท้จริง เซิร์ฟเวอร์ C2 มากถึง 45 เครื่องได้รับการระบุว่าเป็นส่วนหนึ่งของโครงสร้างพื้นฐาน โดยมีเซิร์ฟเวอร์ 9 เครื่องที่ได้รับการฮาร์ดโค้ดลงในตัวอย่าง และใช้เพื่ออัปเดตรายการ C2 ได้ทันที
“เซิร์ฟเวอร์ฮาร์ดโค้ดเหล่านี้ไม่ใช่ C2 แต่เป็นตัวเปลี่ยนเส้นทาง C2 บทบาทของพวกเขาคือการส่งต่อคำขอของบอทไปยัง C2 จริง โดยมีจุดประสงค์เพื่อปกป้อง C2 จริงจากการตรวจจับ” นักวิจัยกล่าว
สิ่งนี้ยังทำให้เกิดความเป็นไปได้ที่เซิร์ฟเวอร์ฮาร์ดโค้ดบางตัวอยู่ภายใต้การควบคุมโดยตรง เนื่องจากมีความเสี่ยงที่จะสูญเสียการเข้าถึงบ็อตเน็ตหากผู้ดูแลเว็บไซต์ WordPress ทราบข่าวว่าถูกประนีประนอมและดำเนินการแก้ไข
คำสั่งที่ดึงมาจากเซิร์ฟเวอร์ C2 ช่วยให้มัลแวร์รวบรวมข้อมูลอุปกรณ์และไฟล์ รายการแอพที่ติดตั้ง อัปเดตเซิร์ฟเวอร์ C2 ดาวน์โหลดและดำเนินการเพย์โหลดเพิ่มเติมจากเซิร์ฟเวอร์ C2 หรือ URL ที่กำหนดเอง และลบตัวเองด้วยตนเอง
ขณะนี้ยังไม่ทราบเป้าหมายและขนาดที่แน่นอนของแคมเปญ แม้ว่าจะสงสัยว่าอาจใช้วิธีลับๆ ล่อๆ เพื่อเพิ่มจำนวนการติดตั้ง และเปิดเผยความสามารถของมัลแวร์
เพื่อลดความเสี่ยงที่เกิดจากมัลแวร์ดังกล่าว ขอแนะนำเสมอให้ติดตั้งแอปจากแหล่งที่เชื่อถือได้เท่านั้น และพิจารณาตรวจสอบบทวิจารณ์และการอนุญาตของแอปอย่างละเอียดก่อนที่จะดาวน์โหลด
แหล่งข่าว https://thehackernews.com/2024/05/android-malware-wpeeper-uses.html
ขอบคุณครับ
บริษัท a2network (Thailand ) จำกัด
ติดต่อ : 02-261-3020
บทความที่เกี่ยวข้อง
ข่าว
ความปลอดภัย
แฮกเกอร์เกาหลีเหนือใช้ FudModule Rootkit ผ่านการใช้ประโยชน์จากช่องโหว่ Zero-Day ของ Chrome
ข้อบกพร่องด้านความปลอดภัยที่เพิ่งได้รับการแก้ไขใน Google Chrome และเว็บเบราว์เซอร์ Chromium อื่นๆ ถูกใช้ประโยชน์เป็นช่องโหว่แบบ zero-day โดยผู้ก่อการร้ายจากเกาหลีเหนือในแคมเปญที่ออกแบบมาเพื่อส่งมอบรูทคิท FudModule การพัฒนานี้แสดงให้เห็นถึงความพยายามอย่างต่อเนื่องของศัตรูซึ่งเป็นรัฐชาติที่เคยใช้ช่องโหว่ Windows แบบ zero-day มากมายในคลังอาวุธของตนในช่วงไม่กี่เดือนที่ผ่านมา
2024.09.02
กฎหมาย
ข่าว
ฝรั่งเศสควบคุมตัว Pavel Durov CEO ผู้ก่อตั้ง Telegram ฐานละเมิดการควบคุมเนื้อหา
Pavel Durov ผู้ก่อตั้งและประธานบริหารของแอพส่งข้อความยอดนิยม Telegram ถูกจับกุมในฝรั่งเศสเมื่อวันเสาร์ ตามรายงานของเครือข่ายโทรทัศน์ TF1 ของฝรั่งเศส
2024.08.27
ข่าว
ความปลอดภัย
SolarWinds แก้ไขช่องโหว่ RCE ระดับ Critical ในซอฟต์แวร์ Web Help Desk ทุกเวอร์ชัน
SolarWinds ได้ออกอัปเดตความปลอดภันใน Web Help Desk (WHD) เพื่อแก้ไขช่องโหว่ระดับร้ายแรง (Critical) ที่อาจถูกโจมตีแบบ Remote Code Execution ที่หมายเลข CVE-2024-28986 มีคะแนน CVSS ที่ 9.8 โดยช่องโหว่ดังกล่าวเป็นปัญหาที่เกี่ยวกับการ Deserialize ของ Java ที่ทำให้ผู้โจมตีสามารถใช้ในการรันคำสั่งบนเครื่องที่มีความเสี่ยงได้
2024.08.22