โทรจัน GoldPickaxe Banking
ผู้คุกคามที่มีความซับซ้อนซึ่งรู้จักกันในชื่อ GoldFactory ซึ่งพูดภาษาจีนได้คล่อง ได้รับการระบุว่าเป็นผู้สร้างโทรจันธนาคารขั้นสูง หนึ่งในการสร้างสรรค์ล่าสุดของพวกเขาคือมัลแวร์ iOS ที่ไม่มีเอกสารชื่อ GoldPickaxe ซึ่งสามารถรวบรวมเอกสารประจำตัวและข้อมูลการจดจำใบหน้าและสกัดกั้น SMS
นักวิจัยได้ตรวจสอบแล้วว่าตระกูล GoldPickaxe กำหนดเป้าหมายทั้งแพลตฟอร์ม iOS และ Android กลุ่มอาชญากรรมไซเบอร์ GoldFactory เชื่อว่ามีการจัดการที่ดีและพูดภาษาจีนได้ มีความเชื่อมโยงอย่างใกล้ชิดกับ Gigabud
GoldFactory ดำเนินงานตั้งแต่อย่างน้อยกลางปี 2023 โดยมีหน้าที่รับผิดชอบในการพัฒนามัลแวร์ธนาคารบน Android อย่าง GoldDigger พร้อมด้วย GoldDiggerPlus เวอร์ชันปรับปรุง นอกจากนี้ พวกเขาได้สร้าง GoldKefu ซึ่งเป็นโทรจันที่ฝังอยู่ภายใน GoldDiggerPlus
สารบัญ
ผู้โจมตีใช้เทคนิคฟิชชิ่งต่างๆ เพื่อปรับใช้ GoldPickaxe
มีการตรวจพบแคมเปญวิศวกรรมสังคมที่คุกคามการแพร่กระจายมัลแวร์ โดยมุ่งเน้นไปที่ภูมิภาคเอเชียแปซิฟิก โดยเฉพาะประเทศไทยและเวียดนาม ผู้โจมตีปลอมตัวเป็นธนาคารท้องถิ่นและหน่วยงานของรัฐ
ในการโจมตีแบบกำหนดเป้าหมายเหล่านี้ บุคคลจะได้รับข้อความหลอกลวงและฟิชชิ่ง กระตุ้นให้พวกเขาเปลี่ยนการสนทนาไปยังแอปส่งข้อความเช่น LINE ต่อมาผู้โจมตีส่ง URL หลอกลวง นำไปสู่การติดตั้ง GoldPickaxe บนอุปกรณ์ของเหยื่อ
แอปพลิเคชันที่ไม่ปลอดภัยบางตัวที่ออกแบบมาสำหรับ Android นั้นโฮสต์อยู่บนเว็บไซต์ปลอม โดยเลียนแบบหน้า Google Play Store หรือไซต์บริษัทปลอม เพื่อให้กระบวนการติดตั้งสำเร็จ
กลยุทธ์ใหม่ที่แสดงโดยอาชญากรไซเบอร์ GoldFactory
วิธีการแจกจ่ายของ GoldPickaxe สำหรับ iOS นั้นแตกต่างกันโดยใช้แนวทางเฉพาะ ใช้แพลตฟอร์ม TestFlight ของ Apple และใช้ URL ที่ติดกับดัก URL เหล่านี้สนับสนุนให้ผู้ใช้ดาวน์โหลดโปรไฟล์การจัดการอุปกรณ์เคลื่อนที่ (MDM) ทำให้สามารถควบคุมอุปกรณ์ iOS ได้อย่างสมบูรณ์ และอำนวยความสะดวกในการติดตั้งแอปปลอม กลยุทธ์การจัดจำหน่ายทั้งสองนี้ได้รับการเปิดเผยโดย Thailand Banking Sector CERT (TB-CERT) และสำนักงานสืบสวนอาชญากรรมทางไซเบอร์ (CCIB) ในเดือนพฤศจิกายน 2566
ความซับซ้อนของ GoldPickaxe แสดงให้เห็นเพิ่มเติมจากความสามารถในการหลีกเลี่ยงมาตรการรักษาความปลอดภัยที่กำหนดในประเทศไทย มาตรการเหล่านี้กำหนดให้ผู้ใช้ยืนยันธุรกรรมที่สำคัญยิ่งขึ้นโดยใช้การจดจำใบหน้าเพื่อป้องกันการฉ้อโกง GoldPickaxe แจ้งให้เหยื่อบันทึกวิดีโอเป็นวิธีการยืนยันภายในแอปพลิเคชันหลอกลวงอย่างชาญฉลาด วิดีโอที่บันทึกไว้ทำหน้าที่เป็นวัตถุดิบในการสร้างวิดีโอ Deepfake ผ่านบริการปัญญาประดิษฐ์ที่แลกเปลี่ยนใบหน้า
นอกจากนี้ มัลแวร์ทั้งเวอร์ชัน Android และ iOS ยังมีความสามารถในการรวบรวมเอกสารประจำตัวและรูปถ่ายของเหยื่อ สกัดกั้นข้อความ SMS ขาเข้า และกำหนดเส้นทางการรับส่งข้อมูลผ่านอุปกรณ์ที่ถูกบุกรุก มีข้อสงสัยว่านักแสดง GoldFactory ใช้อุปกรณ์ของตนเองเพื่อลงชื่อเข้าใช้แอปพลิเคชันธนาคารและดำเนินการโอนเงินโดยไม่ได้รับอนุญาต
ความแตกต่างระหว่างเวอร์ชัน iOS และ Android GoldPickaxe
GoldPickaxe เวอร์ชัน iOS แสดงให้เห็นฟังก์ชันการทำงานที่น้อยลงเมื่อเทียบกับเวอร์ชัน Android ความคลาดเคลื่อนนี้เกิดจากระบบปฏิบัติการ iOS แบบปิดและโปรโตคอลการอนุญาตที่ค่อนข้างเข้มงวด
เวอร์ชัน Android ซึ่งถูกมองว่าเป็นผู้สืบทอดวิวัฒนาการของ GoldDiggerPlus โดยปลอมตัวเป็นแอปพลิเคชันต่างๆ มากกว่า 20 รายการที่เกี่ยวข้องกับรัฐบาล ภาคการเงิน และบริษัทสาธารณูปโภคของประเทศไทย เป้าหมายหลักคือการขโมยข้อมูลรับรองการเข้าสู่ระบบจากบริการเหล่านี้ อย่างไรก็ตาม เจตนาที่แท้จริงของผู้คุกคามที่มีข้อมูลที่รวบรวมมานี้ยังไม่ชัดเจน
ลักษณะเด่นอีกประการหนึ่งของมัลแวร์คือการใช้ประโยชน์จากบริการการเข้าถึงของ Android เพื่อบันทึกการกดแป้นพิมพ์และบันทึกเนื้อหาบนหน้าจอ
