Mirax แรท

Mirax คือมัลแวร์ประเภทโทรจันสำหรับเข้าถึงระบบ Android จากระยะไกล ที่เพิ่งถูกค้นพบ และกำลังโจมตีกลุ่มผู้ใช้ภาษาสเปนอย่างหนักผ่านแคมเปญสื่อสังคมออนไลน์ขนาดใหญ่ ผู้โจมตีใช้ประโยชน์จากการโฆษณาบนแพลตฟอร์มต่างๆ เช่น Facebook, Instagram, Messenger และ Threads เข้าถึงบัญชีผู้ใช้กว่า 220,000 บัญชี การแพร่กระจายอย่างกว้างขวางนี้แสดงให้เห็นถึงความพยายามอย่างเป็นระบบในการใช้ประโยชน์จากระบบนิเวศการโฆษณาที่น่าเชื่อถือเพื่อกระจายมัลแวร์

ความสามารถในการควบคุมระยะไกลขั้นสูง

Mirax เป็นมัลแวร์ประเภท Remote Access Trojan (RAT) ที่มีประสิทธิภาพสูง ทำให้ผู้โจมตีสามารถควบคุมอุปกรณ์ที่ถูกบุกรุกได้อย่างสมบูรณ์แบบเรียลไทม์ ฟังก์ชันการทำงานของมันนั้นเหนือกว่าการทำงานของ RAT ทั่วไป โดยสามารถสอดส่องและโต้ตอบกับระบบที่ติดเชื้อได้อย่างละเอียด ความสามารถต่างๆ ได้แก่ การบันทึกการกดแป้นพิมพ์ การดึงภาพ การเก็บรวบรวมข้อมูลหน้าจอล็อก การเรียกใช้คำสั่ง การนำทางในส่วนติดต่อผู้ใช้ และการตรวจสอบกิจกรรมของผู้ใช้อย่างต่อเนื่อง

นอกจากนี้ มัลแวร์ยังสามารถดึงและแสดงโอเวอร์เลย์ HTML แบบไดนามิกจากโครงสร้างพื้นฐานการควบคุมและสั่งการ (C2) ของมัน ซึ่งอำนวยความสะดวกในการเก็บรวบรวมข้อมูลประจำตัวผ่านอินเทอร์เฟซที่หลอกลวง

เปลี่ยนเหยื่อให้กลายเป็นโครงสร้างพื้นฐานตัวแทน

ลักษณะเด่นของ Mirax คือความสามารถในการเปลี่ยนอุปกรณ์ที่ติดไวรัสให้กลายเป็นโหนดพร็อกซีแบบใช้งานในบ้าน โดยการผสานรวมการรองรับโปรโตคอล SOCKS5 เข้ากับการมัลติเพล็กซ์ Yamux มัลแวร์จะสร้างช่องทางพร็อกซีถาวรที่ส่งทราฟฟิกของผู้โจมตีผ่านที่อยู่ IP ของผู้ใช้ที่ถูกต้อง ฟังก์ชันนี้ช่วยให้ผู้โจมตีสามารถหลีกเลี่ยงข้อจำกัดด้านตำแหน่งทางภูมิศาสตร์ หลบเลี่ยงกลไกการตรวจจับการฉ้อโกง และดำเนินกิจกรรมที่เป็นอันตราย เช่น การเข้ายึดบัญชี ด้วยการปกปิดตัวตนและความน่าเชื่อถือที่เพิ่มขึ้น

บริการกำจัดมัลแวร์พร้อมสิทธิ์การเข้าถึงแบบพิเศษ

Mirax ถูกวางจำหน่ายในรูปแบบบริการมัลแวร์ (Malware-as-a-Service หรือ MaaS) ภายใต้ชื่อ 'Mirax Bot' การเข้าถึงเวอร์ชันเต็มรูปแบบมีราคา 2,500 ดอลลาร์สหรัฐฯ สำหรับการสมัครสมาชิกสามเดือน ในขณะเดียวกันก็มีเวอร์ชันลดทอนคุณสมบัติให้เลือกซื้อในราคา 1,750 ดอลลาร์สหรัฐฯ ต่อเดือน ซึ่งขาดคุณสมบัติบางอย่าง เช่น ฟังก์ชันพร็อกซีและความสามารถในการข้าม Google Play Protect แตกต่างจากแพลตฟอร์ม MaaS ทั่วไป การจัดจำหน่ายถูกควบคุมอย่างเข้มงวดและจำกัดเฉพาะกลุ่มพันธมิตรจำนวนจำกัด ซึ่งส่วนใหญ่เป็นผู้พูดภาษารัสเซียที่มีชื่อเสียงในฟอรัมใต้ดิน ความพิเศษเฉพาะนี้บ่งชี้ถึงการให้ความสำคัญอย่างจงใจต่อความปลอดภัยในการดำเนินงานและประสิทธิภาพของแคมเปญอย่างต่อเนื่อง

การหลอกลวงทางสังคมผ่านการโฆษณาที่เป็นอันตราย

ห่วงโซ่การแพร่ระบาดอาศัยการโฆษณาหลอกลวงที่เผยแพร่บนแพลตฟอร์ม Meta เป็นหลัก โฆษณาเหล่านี้โปรโมตบริการสตรีมมิ่งปลอมที่เสนอการเข้าถึงกีฬาและภาพยนตร์สดฟรี ล่อลวงให้ผู้ใช้ดาวน์โหลดแอปพลิเคชันที่เป็นอันตราย มีการระบุโฆษณาหลายรายการ โดยเน้นที่ผู้ใช้ในสเปนเป็นหลัก แคมเปญหนึ่งที่เปิดตัวเมื่อวันที่ 6 เมษายน 2569 เข้าถึงผู้ใช้เกือบ 191,000 ราย แสดงให้เห็นถึงขนาดและประสิทธิภาพของกลยุทธ์การแพร่กระจายนี้

เทคนิคการส่งมอบและการหลบหลีกที่ซับซ้อน

Mirax ใช้กระบวนการแพร่เชื้อหลายขั้นตอนที่ออกแบบมาเพื่อหลีกเลี่ยงการตรวจจับและการวิเคราะห์ แอปพลิเคชันตัวปล่อยไวรัสจะถูกเผยแพร่ผ่านหน้าเว็บที่บังคับใช้การตรวจสอบการเข้าถึงอย่างเข้มงวด ทำให้มั่นใจได้ว่าเฉพาะผู้ใช้มือถือเท่านั้นที่จะสามารถดำเนินการต่อได้ ในขณะเดียวกันก็บล็อกการสแกนความปลอดภัยอัตโนมัติ ไฟล์ APK ที่เป็นอันตรายจะถูกโฮสต์บน GitHub ซึ่งทำให้กลมกลืนกับโครงสร้างพื้นฐานที่ถูกต้องตามกฎหมายมากยิ่งขึ้น

เมื่อโปรแกรมทำงานแล้ว มันจะแจ้งให้ผู้ใช้เปิดใช้งานการติดตั้งจากแหล่งที่ไม่รู้จัก ซึ่งจะเริ่มกระบวนการดึงข้อมูลที่ซับซ้อนซึ่งออกแบบมาเพื่อหลีกเลี่ยงระบบแซนด์บ็อกซ์และเครื่องมือรักษาความปลอดภัย จากนั้นมัลแวร์จะปลอมตัวเป็นแอปพลิเคชันเล่นวิดีโอและขอสิทธิ์การเข้าถึงบริการ ทำให้มันสามารถควบคุมการทำงานของอุปกรณ์ได้อย่างกว้างขวางในขณะที่ทำงานอย่างเงียบ ๆ ในพื้นหลัง ข้อความแสดงความล้มเหลวในการติดตั้งปลอมจะปรากฏขึ้นเพื่อหลอกลวงผู้ใช้ ในขณะที่ภาพซ้อนที่เป็นอันตรายจะซ่อนกิจกรรมที่กำลังดำเนินอยู่

แคมเปญนี้ได้ใช้ข้อมูลประจำตัวแอปพลิเคชันที่หลอกลวงหลายอย่าง:

StreamTV (org.lgvvfj.pluscqpuj หรือ org.dawme.secure5ny) – ทำหน้าที่เป็นตัวปล่อยไฟล์

Reproductor de video (org.yjeiwd.plusdc71 or org.azgaw.managergst1d) – delivering the Mirax payload

สถาปัตยกรรมควบคุมและสั่งการ และช่องทางการสื่อสาร

Mirax สร้างช่องทางการสื่อสารแบบสองทิศทางหลายช่องทางกับเซิร์ฟเวอร์ C2 ของตน ทำให้สามารถดำเนินการงานและดึงข้อมูลได้อย่างมีประสิทธิภาพ การเชื่อมต่อ WebSocket ที่แตกต่างกันจะถูกใช้เพื่อวัตถุประสงค์ในการปฏิบัติงานที่แตกต่างกัน:

• พอร์ต 8443 ใช้สำหรับการจัดการการเข้าถึงระยะไกลและการเรียกใช้คำสั่ง
• พอร์ต 8444 รองรับการสตรีมมิ่งระยะไกลและการรั่วไหลของข้อมูล
• พอร์ต 8445 (หรือพอร์ตที่กำหนดเอง) รองรับการใช้งานพร็อกซีแบบที่อยู่อาศัยโดยใช้ SOCKS5

สถาปัตยกรรมแบบแบ่งส่วนนี้ช่วยเพิ่มความน่าเชื่อถือและความยืดหยุ่นในการปฏิบัติงาน ในขณะเดียวกันก็ทำให้การตรวจจับมีความซับซ้อนมากขึ้น

ก้าวใหม่ของการปฏิบัติการอาชญากรไซเบอร์

การผสานรวมความสามารถของ RAT และพร็อกซีที่อยู่อาศัย บ่งชี้ถึงวิวัฒนาการที่สำคัญในการออกแบบภัยคุกคามบนมือถือ ในอดีต บอทเน็ตพร็อกซีมักเกี่ยวข้องกับอุปกรณ์ IoT ที่ถูกบุกรุก หรือฮาร์ดแวร์ Android ราคาประหยัด เช่น สมาร์ททีวี Mirax แสดงให้เห็นถึงการเปลี่ยนแปลงไปสู่การฝังความสามารถเหล่านี้ไว้ในโทรจันสำหรับธนาคารที่มีคุณสมบัติครบถ้วน ซึ่งเพิ่มมูลค่าของการติดเชื้อแต่ละครั้งและความหลากหลายในการปฏิบัติการของผู้โจมตีอย่างมาก

ด้วยการผสานกลไกการฉ้อโกงทางการเงินเข้ากับโครงสร้างพื้นฐานพร็อกซี Mirax ทำให้ผู้โจมตีสามารถโจมตีเหยื่อได้โดยตรงและใช้ประโยชน์จากอุปกรณ์ของเหยื่อเป็นสินทรัพย์ในระบบนิเวศอาชญากรรมไซเบอร์ที่กว้างขึ้นได้ในเวลาเดียวกัน