มัลแวร์ MassJacker
นักวิจัยด้านความปลอดภัยไซเบอร์ได้เปิดเผยแคมเปญมัลแวร์ใหม่ที่กำหนดเป้าหมายผู้ใช้ที่ค้นหาซอฟต์แวร์ละเมิดลิขสิทธิ์ การโจมตีดังกล่าวส่งมัลแวร์คลิปเปอร์ที่ยังไม่มีการบันทึกมาก่อนที่เรียกว่า MassJacker ซึ่งออกแบบมาเพื่อขโมยสกุลเงินดิจิทัลโดยการจัดการข้อมูลคลิปบอร์ด
สารบัญ
MassJacker ทำงานอย่างไร: ภัยคุกคามจากมัลแวร์ Clipper
มัลแวร์ Clipper เป็นภัยคุกคามทางไซเบอร์ที่คอยตรวจสอบกิจกรรมในคลิปบอร์ดของเหยื่อ เมื่อผู้ใช้พีซีคัดลอกที่อยู่กระเป๋าสตางค์สกุลเงินดิจิทัล มัลแวร์จะแทนที่ที่อยู่นั้นด้วยที่อยู่ที่ผู้โจมตีควบคุม โดยเปลี่ยนเส้นทางเงินไปยังอาชญากรไซเบอร์แทนที่จะเป็นผู้รับที่ตั้งใจไว้
Pesktop.com: ประตูสู่การติดเชื้อ
ห่วงโซ่การติดเชื้อเริ่มต้นจาก Pesktop.com ซึ่งเป็นเว็บไซต์ที่แอบอ้างว่าเป็นแหล่งของซอฟต์แวร์ละเมิดลิขสิทธิ์ อย่างไรก็ตาม ผู้ใช้ที่ดาวน์โหลดจากไซต์นี้จะได้รับมัลแวร์ประเภทต่างๆ โดยไม่รู้ตัวพร้อมกับซอฟต์แวร์ที่ต้องการ
เมื่อผู้ใช้รันไฟล์ปฏิบัติการเริ่มต้นแล้ว โปรแกรมจะทริกเกอร์สคริปต์ PowerShell ที่ดาวน์โหลดมัลแวร์บอตเน็ตที่ชื่อ Amadey พร้อมกับไฟล์ไบนารี .NET สองตัวที่ออกแบบมาสำหรับสถาปัตยกรรมทั้ง 32 บิตและ 64 บิต ไฟล์ไบนารีเหล่านี้มีชื่อรหัสว่า PackerE ซึ่งจะดาวน์โหลด DLL ที่เข้ารหัส จากนั้นจึงเปิดใช้งานเพย์โหลด MassJacker โดยฉีดเข้าในกระบวนการ Windows ที่ถูกต้องตามกฎหมายที่เรียกว่า InstalUtil.exe
โหมดล่องหน: MassJacker หลบเลี่ยงการตรวจจับได้อย่างไร
เพื่อหลีกเลี่ยงการตรวจจับ มัลแวร์จึงใช้เทคนิคการบดบังหลายวิธี รวมถึง:
- JIT Hooking : ปรับเปลี่ยนการคอมไพล์แบบ Just-In-Time (JIT) เพื่อหลีกเลี่ยงการวิเคราะห์
- การแมปโทเค็นเมตาดาต้า : ซ่อนการเรียกฟังก์ชันเพื่อทำให้การวิเคราะห์ยากขึ้น
- การดำเนินการเครื่องเสมือนที่กำหนดเอง : แทนที่จะรันโค้ด .NET มาตรฐาน จะดำเนินการคำสั่งผ่านเครื่องเสมือนเพื่อป้องกันการตรวจจับ
นอกจากนี้ MassJacker ยังมาพร้อมกับกลไกป้องกันการดีบักของตัวเอง ซึ่งทำให้นักวิจัยด้านความปลอดภัยวิเคราะห์ได้ยากยิ่งขึ้น
MassJacker รวบรวมสกุลเงินดิจิทัลอย่างไร
เมื่อเปิดใช้งานแล้ว MassJacker จะตรวจสอบคลิปบอร์ดของเหยื่ออย่างต่อเนื่อง โดยจะสแกนข้อความที่คัดลอกโดยใช้นิพจน์ทั่วไปเพื่อตรวจจับที่อยู่กระเป๋าเงินสกุลเงินดิจิทัล หากพบข้อมูลที่ตรงกัน มัลแวร์จะแทนที่ที่อยู่กระเป๋าเงินที่คัดลอกด้วยที่อยู่จากรายการที่ดาวน์โหลดไว้ล่วงหน้าซึ่งควบคุมโดยผู้โจมตี
MassJacker ติดต่อเซิร์ฟเวอร์ระยะไกลเพื่อค้นหารายชื่อที่อยู่กระเป๋าเงินที่อัปเดต เพื่อให้แน่ใจว่าเงินที่ขโมยมาจะยังคงไหลเข้าบัญชีที่ควบคุมโดยอาชญากรไซเบอร์
ระดับการโจมตีที่น่าตกตะลึง
นักวิจัยได้ระบุที่อยู่กระเป๋าเงินที่ไม่ซ้ำกันมากกว่า 778,531 ที่อยู่ที่เกี่ยวข้องกับผู้โจมตี อย่างไรก็ตาม มีเพียง 423 กระเป๋าเงินเท่านั้นที่ถือครองเงินรวมมูลค่าประมาณ 95,300 ดอลลาร์ ก่อนที่เงินจะถูกโอนออกไป ผู้โจมตีได้รวบรวมสินทรัพย์ดิจิทัลที่ขโมยมาได้ประมาณ 336,700 ดอลลาร์
กระเป๋าเงินเดียวที่เชื่อมโยงกับแคมเปญมีเงินอยู่ประมาณ 87,000 เหรียญสหรัฐ (600 SOL) โดยมีธุรกรรมมากกว่า 350 รายการที่โอนเงินจากที่อยู่ที่ถูกบุกรุกต่างๆ เข้าไป
ใครอยู่เบื้องหลัง MassJacker?
ตัวตนของผู้ก่ออาชญากรรมไซเบอร์ที่อยู่เบื้องหลัง MassJacker ยังคงไม่เป็นที่ทราบแน่ชัด อย่างไรก็ตาม นักวิจัยพบความคล้ายคลึงกันระหว่าง MassJacker และมัลแวร์อีกตัวหนึ่งที่เรียกว่า MassLogger ซึ่งใช้ JIT hooking เพื่อต่อต้านการวิเคราะห์เช่นกัน ซึ่งบ่งชี้ถึงความเชื่อมโยงที่เป็นไปได้ระหว่างภัยคุกคามทั้งสองหรือภูมิหลังการพัฒนาร่วมกัน
อยู่ให้ปลอดภัย: วิธีการปกป้องตัวเอง
- หลีกเลี่ยงการดาวน์โหลดซอฟต์แวร์ละเมิดลิขสิทธิ์ – เว็บไซต์ซอฟต์แวร์ผิดกฎหมายจำนวนมากทำหน้าที่เป็นแพลตฟอร์มการส่งมอบมัลแวร์
- ใช้ซอฟต์แวร์รักษาความปลอดภัยที่แข็งแกร่ง – เครื่องมือตรวจจับมัลแวร์ที่เชื่อถือได้สามารถช่วยระบุภัยคุกคามได้ก่อนที่จะก่อให้เกิดอันตราย
- ตรวจสอบที่อยู่กระเป๋าเงินอีกครั้ง – ตรวจสอบที่อยู่กระเป๋าเงินด้วยตนเองเสมอ ก่อนที่จะโอนสกุลเงินดิจิทัล
- อัปเดตซอฟต์แวร์อยู่เสมอ – การอัปเดตเป็นประจำจะช่วยให้มีการแก้ไขช่องโหว่ต่างๆ ซึ่งช่วยลดความเสี่ยงในการติดมัลแวร์
เนื่องจากผู้ก่ออาชญากรรมทางไซเบอร์ยังคงพัฒนากลยุทธ์ การคอยติดตามข้อมูลและระมัดระวังถือเป็นแนวป้องกันที่ดีที่สุดต่อภัยคุกคามเช่น MassJacker
