Cybercriminals ใช้ประโยชน์จากการค้นหาซอฟต์แวร์ยอดนิยมเพื่อแพร่กระจายมัลแวร์ FakeBat

สรุปข้อมูล 

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบการเพิ่มขึ้นของการแพร่กระจาย Malware อันเนื่องมาจากแคมเปญมัลแวร์ที่เผยแพร่ Payload ที่เรียกว่า FakeBat หรือที่รู้จักในชื่อ EugenLoader และ PaykLoader ซึ่งรูปแบบของ FakeBat เป็นการดำเนินการแบบ Malware-as-a-Service (MaaS) โดยมุ่งเป้าไปที่ผู้ใช้ที่กำลังมองหาซอฟต์แวร์ยอดนิยม ทีม Mandiant Managed Defense กล่าวในรายงานว่าการติด Malware นี้ใช้โปรแกรมติดตั้ง MSIX แบบ Trojan ซึ่งรันสคริปต์ PowerShell เพื่อดาวน์โหลดเพย์โหลด

รายละเอียดการโจมตี

1. Initial Compromise: ผู้โจมตีใช้วิธีการต่าง ๆ เช่น SEO poisoning, malvertising และการใช้ชื่อโดเมนปลอม (typosquatting) เพื่อลวงให้ผู้ใช้ดาวน์โหลดตัวติดตั้ง MSIX ที่เป็นอันตราย
   
2. Established Foothold:
   - เมื่อติดตั้งตัวติดตั้งสำเร็จ มัลแวร์ NUMOZYLOD จะถูกดร็อปลงไป ซึ่งประกอบด้วยสคริปต์ PowerShell (.ps1)
   -  ไฟล์อื่น ๆ ที่ดร็อปลงไปเช่น gpg.exe และ iconv.dll ถูกเก็บไว้ในโฟลเดอร์ `%localappdata%` เพื่อให้ดูเหมือนไฟล์ที่ไม่เป็นอันตราย
   
3. Maintain Presence: มัลแวร์สร้างไฟล์ทางลัด (.lnk) ในโฟลเดอร์ startup เพื่อให้สามารถรันตัวเองทุกครั้งเมื่อเริ่มระบบใหม่
4. Move Laterally: ผู้โจมตีพยายามขยายการควบคุมไปยังเครื่องอื่น ๆ ในเครือข่ายเพื่อเพิ่มการเข้าถึงข้อมูล
5. Internal Reconnaissance: มัลแวร์รวบรวมข้อมูลต่าง ๆ เช่น ข้อมูลระบบปฏิบัติการ, ชื่อโดเมนของคอมพิวเตอร์และรายชื่อซอฟต์แวร์แอนติไวรัสที่ติดตั้ง
6. Escalate Privilege: ใช้ความสามารถ runFullTrust เพื่อเพิ่มสิทธิ์ในการเข้าถึงระบบ
7. Complete Mission: เมื่อได้ข้อมูลที่ต้องการแล้ว ผู้โจมตีจะดาวน์โหลดมัลแวร์เพิ่มเติมเพื่อดำเนินการโจมตีขั้นต่อไป

ผลกระทบจากการโจมตี 

การโจมตีเหล่านี้อาจทำให้เกิดการสูญเสียข้อมูลสำคัญ การโจรกรรมข้อมูลส่วนบุคคล ความเสียหายทางการเงิน และผลกระทบต่อความต่อเนื่องในการดำเนินธุรกิจ องค์กรที่ถูกโจมตีอาจต้องเสียค่าใช้จ่ายจำนวนมากในการกู้คืนระบบและอาจได้รับผลกระทบทางชื่อเสียง และความสามารถในการแพร่กระจายในระบบทำให้การแก้ไขปัญหาทำได้ยากและซับซ้อนมากขึ้น

สรุปการโจมตี 

การโจมตีนี้เริ่มจากการล่อลวงผู้ใช้ให้ดาวน์โหลดซอฟต์แวร์ปลอมผ่านเทคนิค SEO poisoning และ malvertising จากนั้นมัลแวร์ NUMOZYLOD จะถูกติดตั้งเพื่อรวบรวมข้อมูลระบบและขยายการโจมตีไปยังอุปกรณ์อื่นในเครือข่าย โดยใช้เทคนิคเพิ่มสิทธิ์และสร้างการคงอยู่ในระบบ สุดท้ายจะดาวน์โหลดมัลแวร์เพิ่มเติมเพื่อดำเนินการโจมตีขั้นต่อไป เช่น การขโมยข้อมูลหรือเรียกค่าไถ่

คำแนะนำ

• ทำการ Full-scan ที่ Endpoint ทุก ๆ สัปดาห์ เพื่อป้องกันไฟล์ที่เป็นอันตรายต่อระบบ
  
• ตรวจสอบและติดตั้งการอัปเดตซอฟแวร์ล่าสุดเพื่อรับการแก้ไขช่องโหว่จากผู้พัฒนา
  
• หลีกเลี่ยงการคลิกโฆษณาหรือการเข้าถึงโดเมนที่ไม่ถูกต้อง
  
• ทำการสำรองข้อมูลสำคัญเพื่อป้องกันข้อมูลสูญหาย
  

แหล่งอ้างอิง 
Hxxps[:]//thehackernews[.]com/2024/08/cybercriminals-exploit-popular-software[.]html  (Aug 19, 2024)