การซูก Payload ของมัลแวร์ด้วยวิธีการดังกล่าวนอกจากทำให้เหยื่อหลงเชื่อ แล้วยังหลอกระบบป้องกันได้อีกด้วยการซุกมัลแวร์ไว้ในไฟล์ที่ดูไม่มีพิษมีภัยนั้น เรียกได้ว่าเป็นวิธีการสุดคลาสสิคของแฮกเกอร์โดยมีจุดมุ่งหมายเพื่อการหลอกเหยื่อ และในบางครั้งก็ยังสามารถฝ่าระบบป้องกันภัยไซเบอร์ได้อีกด้วย และนี่ก็เป็นอีกวิธีการหนึ่งที่แฮกเกอร์ได้เอามาใช้งานจากรายงานโดยเว็บไซต์ SCWorld กล่าวถึงการที่ทีมวิจัยจาก Point Wild ได้ตรวจพบการที่แฮกเกอร์ได้นำเอาเครื่องมือสำหรับผู้พัฒนาซอฟต์แวร์ (Developer) อย่าง PyInstaller มาใช้ในการซุกมัลแวร์ Xworm ไว้ภายในไฟล์ที่ดูไม่มีพิษมีภัย โดยแฮกเกอร์จะนำเอาไฟล์ที่จะใช้เป็นพาหะ มาแทรกโค้ดของมัลแวร์ลงไปด้วย PyInstaller เพื่อสร้างไฟล์สำหรับรัน (Executable) ขึ้นมาจากไฟล์สคริปท์ ซึ่งจะส่งผลให้เหยื่อที่เปิดไฟล์ขึ้นมานั้นรู้สึกไม่ผิดสังเกต ในขณะที่เบื้องหลัง (Background) นั้นทำการรันติดตั้งมัลแวร์ตามสคริปท์ที่สอดแทรกเข้าไป ในขณะเดียวกันก็ส่งผลให้ตัวมัลแวร์สามารถเล็ดลอดระบบตรวจจับของเครื่องเหยื่อได้อีกด้วยโดยภายในตัวโค้ดนั้น ทางทีมวิจัยได้ตรวจพบโค้ดลวง (Dummy) ชื่อว่า "_IAT_PHANTOM_FIX" ซึ่งคาดว่ามีไว้เพื่อต่อต้านการถูกวิเคราะห์ (Anti-Analysis) โดยเครื่องมือวิเคราะห์มัลแวร์ ทั้งยังมีการปิดระบบสแกนไวรัสของตัว Windows ชื่อ Antimalware Scan Interface (AMSI) ด้วยการใช้งาน AMSI Memory Patching อีกด้วยสำหรับตัวสคริปท์มัลแวร์ (Payload) ที่ซ่อนอยู่ภายในไฟล์นั้น หลังจากที่ถูกปล่อยออกมาจากตัวไฟล์พาหะแล้ว ก็จะเข้าไปซ่อนตัวอยู่ภายในโฟลเดอร์ %LOCALAPPDATA% บนระบบของเหยื่อภายใต้ชื่อไฟล์ที่ดูเหมือนกับไฟล์ทั่วไป เช่น "Win.Kernel_Svc_AJ8iOw.exe" แล้วจึงทำการซ่อน (Hidden) ตัวไฟล์มัลแวร์เองปะปนรวมกับไฟล์ระบบอื่น ๆ โดยมัลแวร์ XWorm V7.4 ซึ่งเป็นรุ่นที่ตกเป็นข่าวนี้ หลังจากฝังลงเครื่องสำเร็จ ก็จะทำการติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ด้วยการใช้งานกุญแจลับ (Secret Key) ที่ถูกเข้ารหัสแบบ AES เพื่อรับคำสั่งโจมตี โดยความสามารถในการโจมตีระบบของเหยื่อนั้น จะครอบคลุมตั้งแต่ การขโมยรหัสผ่านต่าง ๆ, การลักลอบเข้าถึงไฟล์บนเครื่อง, การแอบใช้งานกล้องเว็บแคม (Webcam) เพื่อสอดแนมเหยื่อ ไปจนถึงการใช้งานเครื่องของเหยื่อมาเป็นส่วนหนึ่งในการยิงระบบที่ใหญ่กว่า หรือ DDoS (Distributed Denial-of-Service) ได้เลยทีเดียว➤ Website : https://www.thaiware.com➤ Facebook : https://www.facebook.com/thaiware➤ Twitter : https://www.twitter.com/thaiware➤ YouTube : https://www.youtube.com/thaiwaretv
นักวิจัยพบ แฮกเกอร์ใช้ PyInstaller ซ่อนมัลแวร์ Xworm ไว้ภายใน แล้วปลอมเป็นอัปเดตปลอมหลอกเหยื่อ
by
Tags: