แฮกเกอร์ใช้ภาพเพื่อปกปิดมัลแวร์ เผยแพร่ VIP Keylogger และ 0bj3ctivity Stealer

อาชญากรไซเบอร์กำลังใช้กลวิธีแอบแฝงไปสู่อีกระดับด้วยการฝังโค้ดที่เป็นอันตรายในไฟล์ภาพเพื่อส่งมัลแวร์ เช่น VIP Keylogger และ 0bj3ctivity Stealer ตามรายงาน Threat Insights ของ HP Wolf Security ประจำไตรมาสที่ 3 ปี 2024 แคมเปญที่ซับซ้อนเหล่านี้ใช้ประโยชน์จากแพลตฟอร์มที่เชื่อถือได้ เช่น Archive.org เพื่อเผยแพร่มัลแวร์โดยหลีกเลี่ยงวิธีการตรวจจับแบบดั้งเดิม

การโจมตีทำงานอย่างไร: มัลแวร์ที่ซ่อนอยู่ในรูปภาพ

แคมเปญเริ่มต้นด้วย อีเมลฟิชชิ่งที่ออกแบบมาเพื่อหลอกล่อเหยื่อให้เปิดไฟล์แนบที่เป็นอันตราย อีเมลเหล่านี้มักจะเลียนแบบใบแจ้งหนี้หรือใบสั่งซื้อเพื่อสร้างความน่าเชื่อถือ เมื่อเปิดไฟล์แนบแล้ว ไฟล์แนบจะทริกเกอร์ช่องโหว่ Microsoft Equation Editor ที่ล้าสมัย ( CVE-2017-11882 ) เพื่อดาวน์โหลดไฟล์ VBScript

ห่วงโซ่การโจมตี

1. อีเมลฟิชชิ่ง : เหยื่อจะได้รับอีเมลหลอกลวงซึ่งมีไฟล์แนบที่เป็นอันตราย
2. การดำเนินการ VBScript : VBScript ที่ดาวน์โหลดมาจะเรียกใช้สคริปต์ PowerShell
3. การดึงข้อมูลรูปภาพ : PowerShell ดาวน์โหลดรูปภาพจาก Archive.org
4. การสกัดรหัสที่เป็นอันตราย : อิมเมจประกอบด้วยมัลแวร์ที่เข้ารหัส Base64 ที่ถูกสกัดและถอดรหัสเป็นไฟล์ปฏิบัติการ .NET
5. การจัดส่งเพย์โหลด : ตัวโหลด .NET จะติดตั้งเพย์โหลดมัลแวร์ขั้นสุดท้าย

ในแคมเปญแรก โหลดนี้คือ VIP Keylogger ซึ่งเป็นเครื่องมือที่ออกแบบมาเพื่อดักจับการกดแป้นพิมพ์ เนื้อหาในคลิปบอร์ด ภาพหน้าจอ และข้อมูลรับรอง ในแคมเปญที่สอง โหลดนี้คือ 0bj3ctivity Stealer ซึ่งเป็นมัลแวร์ขโมยข้อมูล

ชุดมัลแวร์ช่วยลดอุปสรรคต่อการโจมตี

ความคล้ายคลึงกันระหว่างแคมเปญทั้งสองบ่งชี้ว่าอาชญากรไซเบอร์กำลังใช้ประโยชน์จากชุดมัลแวร์ ชุดเหล่านี้ช่วยปรับกระบวนการโจมตีให้คล่องตัวขึ้น โดยลดความเชี่ยวชาญด้านเทคนิคที่จำเป็นในการดำเนินการตามห่วงโซ่การติดเชื้อที่ซับซ้อน แนวโน้มนี้สะท้อนให้เห็นถึงการที่อาชญากรรมไซเบอร์กลายเป็นสินค้าโภคภัณฑ์มากขึ้น โดยเครื่องมือที่สร้างไว้ล่วงหน้าทำให้แม้แต่ผู้โจมตีมือใหม่ก็สามารถปล่อยมัลแวร์ได้ง่ายขึ้น

เทคนิคเพิ่มเติมในการใช้งาน

HP Wolf Security ยังได้ระบุถึงการลักลอบนำ HTML เข้ามาใช้เป็นกลวิธีเสริมอีกด้วย โดยในวิธีนี้ ผู้โจมตีจะส่งมัลแวร์ เช่น XWorm RAT โดยใช้โปรแกรม AutoIt ที่ซ่อนไว้ในไฟล์ HTML ที่เป็นอันตราย โดยรายงานระบุว่าไฟล์บางส่วนเหล่านี้ถูกสร้างขึ้นโดยใช้เครื่องมือ GenAI ซึ่งแสดงให้เห็นว่าปัญญาประดิษฐ์ถูกนำมาใช้เพื่อปรับปรุงการส่งมัลแวร์และการบดบังข้อมูลได้อย่างไร

แคมเปญ GitHub มอบ Lumma Stealer

แคมเปญที่น่าสนใจอีกแคมเปญหนึ่งเกี่ยวข้องกับการใช้ที่เก็บข้อมูลของ GitHub ซึ่งแอบอ้างว่าเป็นแหล่งโกงเกมวิดีโอและเครื่องมือปรับแต่ง ที่เก็บข้อมูลเหล่านี้แอบเผยแพร่มัลแวร์ Lumma Stealer ผ่านโปรแกรมดรอปเปอร์ที่ใช้ .NET ซึ่งเน้นย้ำว่าผู้โจมตีใช้ประโยชน์จากแพลตฟอร์มยอดนิยมเพื่อกำหนดเป้าหมายผู้ใช้ที่ไม่สงสัยได้อย่างไร

เหตุใดการโจมตีโดยใช้ภาพจึงคุกคาม

การฝังมัลแวร์ในรูปภาพเป็นเทคนิคที่เรียกว่า steganography ซึ่งซ่อนโค้ดที่เป็นอันตรายในไฟล์ที่ดูไม่เป็นอันตราย วิธีนี้ช่วยหลีกเลี่ยงระบบป้องกันไวรัสหลายระบบซึ่งมีแนวโน้มน้อยกว่าที่จะตรวจสอบไฟล์รูปภาพ การใช้แพลตฟอร์มโฮสติ้งที่เชื่อถือได้ เช่น Archive.org ทำให้การตรวจจับมีความซับซ้อนมากขึ้น

กลยุทธ์การบรรเทาผลกระทบสำหรับองค์กร

เพื่อป้องกันภัยคุกคามที่เปลี่ยนแปลงเหล่านี้ องค์กรต่างๆ ควรดำเนินการตามมาตรการต่อไปนี้:

1. แก้ไขช่องโหว่ที่ทราบ : แก้ไขช่องโหว่ซอฟต์แวร์ที่ล้าสมัย เช่น CVE-2017-11882
2. เปิดใช้งานการตรวจจับภัยคุกคามขั้นสูง : ใช้โซลูชันที่มีความสามารถในการตรวจจับการปกปิดข้อมูลและพฤติกรรมไฟล์ที่น่าสงสัย
3. ให้ความรู้พนักงาน : ฝึกอบรมพนักงานให้สามารถจดจำอีเมล์ฟิชชิ่งและหลีกเลี่ยงการเปิดไฟล์แนบที่ไม่คาดคิด
4. จำกัดการเข้าถึงเฉพาะแหล่งที่เชื่อถือได้ : จำกัดการใช้แพลตฟอร์มการแบ่งปันไฟล์เฉพาะกับโดเมนที่ได้รับอนุมัติ

อาชญากรรมทางไซเบอร์กลายเป็นสินค้าโภคภัณฑ์ที่เพิ่มมากขึ้น

เนื่องจากชุดมัลแวร์เข้าถึงได้ง่ายขึ้น ผู้โจมตีทุกระดับทักษะจึงสามารถรวบรวมห่วงโซ่การติดเชื้อที่มีประสิทธิภาพได้ การผสานเครื่องมือ AI ในการสร้างมัลแวร์ยิ่งทำให้ความท้าทายสำหรับผู้ปกป้องความปลอดภัยทางไซเบอร์เพิ่มมากขึ้น ทำให้การโจมตีมีความหลากหลายมากขึ้นและยากต่อการระบุแหล่งที่มา

ผลการวิจัยของ HP Wolf Security เน้นย้ำถึงความเร่งด่วนในการก้าวไปข้างหน้าจากภัยคุกคามที่เปลี่ยนแปลงไปเหล่านี้ โดยการนำกลยุทธ์การป้องกันเชิงรุกและการติดตามกลวิธีใหม่ๆ มาใช้ องค์กรต่างๆ สามารถปกป้องเครือข่ายของตนจากแคมเปญที่ซับซ้อนเหล่านี้ได้ดีขึ้น