โปรแกรมดาวน์โหลด PEAKLIGHT

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบดรอปเปอร์ชนิดใหม่ซึ่งออกแบบมาเพื่อปล่อยมัลแวร์ระยะถัดไป โดยมุ่งเป้าไปที่ระบบ Windows ด้วยโปรแกรมขโมยและโหลดข้อมูลในที่สุด

โปรแกรมดรอปเปอร์ที่ใช้หน่วยความจำเพียงอย่างเดียวนี้จะถอดรหัสและเรียกใช้โปรแกรมดาวน์โหลดที่ใช้ PowerShell ซึ่งเรียกว่า PEAKLIGHT สายพันธุ์ของมัลแวร์ที่แพร่กระจายผ่านวิธีนี้ ได้แก่ Lumma Stealer , Hijack Loader (หรือเรียกอีกอย่างว่า DOILoader, IDAT Loader หรือ SHADOWLADDER) และ CryptBot ซึ่งทั้งหมดนี้มีให้บริการเป็นส่วนหนึ่งของโมเดลมัลแวร์แบบให้บริการ (MaaS)

เวกเตอร์การโจมตีเริ่มต้นและห่วงโซ่การโจมตี

ห่วงโซ่การโจมตีเริ่มต้นด้วยไฟล์ทางลัดของ Windows (LNK) ที่ดาวน์โหลดผ่านวิธีการดาวน์โหลดแบบผ่านๆ เช่น เมื่อผู้ใช้ค้นหาภาพยนตร์ออนไลน์ ไฟล์ LNK เหล่านี้จะถูกบรรจุในไฟล์ ZIP ที่ปลอมตัวเป็นภาพยนตร์ละเมิดลิขสิทธิ์

เมื่อดาวน์โหลดแล้ว ไฟล์ LNK จะเชื่อมต่อกับเครือข่ายการจัดส่งเนื้อหา (CDN) ที่โฮสต์โปรแกรมดรอปเปอร์ JavaScript ที่ใช้หน่วยความจำเท่านั้นและถูกบดบัง จากนั้นโปรแกรมดรอปเปอร์นี้จะเรียกใช้สคริปต์ดาวน์โหลด PEAKLIGHT PowerShell บนเครื่องของเหยื่อ ซึ่งจะติดต่อกับเซิร์ฟเวอร์ Command-and-Control (C2) เพื่อดึงข้อมูลเพย์โหลดเพิ่มเติม

นักวิจัยได้สังเกตเห็นรูปแบบไฟล์ LNK ที่แตกต่างกัน โดยบางไฟล์ใช้เครื่องหมายดอกจัน (*) แทนสัญลักษณ์ตัวแทนเพื่อเรียกไฟล์ไบนารี mshta.exe ที่ถูกต้อง ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตราย (เช่น ดรอปเปอร์) จากเซิร์ฟเวอร์ระยะไกลได้อย่างแนบเนียน

PEAKLIGHT ซ่อนการกระทำอันคุกคามไว้เบื้องหลังภาพยนตร์ที่ถูกกฎหมาย

ในทำนองเดียวกัน พบว่าดรอปเปอร์มีทั้งเพย์โหลด PowerShell ที่เข้ารหัสด้วยเลขฐานสิบหกและเข้ารหัสด้วย Base64 เพย์โหลดเหล่านี้จะถูกแยกออกเพื่อเรียกใช้ PEAKLIGHT ซึ่งเป็นเครื่องมือที่ออกแบบมาเพื่อติดตั้งมัลแวร์ในระบบที่ติดไวรัสในขณะเดียวกันก็ดาวน์โหลดตัวอย่างภาพยนตร์ที่ถูกต้องตามกฎหมาย ซึ่งน่าจะเป็นการล่อลวง

PEAKLIGHT ทำหน้าที่เป็นตัวดาวน์โหลดที่ใช้ PowerShell แบบซ่อนเร้นภายในห่วงโซ่การดำเนินการหลายขั้นตอน โดยจะค้นหาไฟล์เก็บถาวร ZIP ในเส้นทางไฟล์ที่เขียนโค้ดแบบฮาร์ดโค้ดเฉพาะ หากไม่พบไฟล์เก็บถาวรเหล่านี้ ตัวดาวน์โหลดจะติดต่อไซต์ CDN เพื่อดาวน์โหลดไฟล์เก็บถาวรและบันทึกลงในดิสก์

นี่ไม่ใช่ครั้งแรกที่มัลแวร์กำหนดเป้าหมายผู้ใช้ที่ค้นหาภาพยนตร์ละเมิดลิขสิทธิ์ ในช่วงต้นเดือนมิถุนายน 2024 นักวิจัยได้ค้นพบห่วงโซ่การติดเชื้อที่ซับซ้อนซึ่งส่งผลให้มีการใช้งาน Hijack Loader หลังจากพยายามดาวน์โหลดไฟล์วิดีโอจากเว็บไซต์ดาวน์โหลดภาพยนตร์

โปรแกรมดาวน์โหลดเปิดประตูสู่มัลแวร์เฉพาะทางมากขึ้น

มัลแวร์ดาวน์โหลดก่อให้เกิดอันตรายสำคัญหลายประการต่อทั้งบุคคลและองค์กร:

• การโจมตีเบื้องต้น : มัลแวร์ดาวน์โหลดมักจะเป็นขั้นตอนแรกของการโจมตีครั้งใหญ่ เมื่อติดตั้งแล้ว มัลแวร์จะดาวน์โหลดและติดตั้งเพย์โหลดอันตรายเพิ่มเติมอย่างเงียบๆ รวมถึงมัลแวร์ขั้นสูงอื่นๆ
• การโจรกรรมข้อมูล : เพย์โหลดเพิ่มเติมที่ส่งโดยมัลแวร์ตัวดาวน์โหลดอาจรวมถึงตัวขโมยข้อมูลที่ขโมยข้อมูลส่วนตัว เช่น ข้อมูลรับรองการเข้าสู่ระบบ ข้อมูลทางการเงิน และรายละเอียดส่วนบุคคล ส่งผลให้เกิดการโจรกรรมข้อมูลส่วนตัวและสูญเสียทางการเงิน
• การแฮ็กระบบ : มัลแวร์ดาวน์โหลดบางตัวได้รับการออกแบบมาเพื่อใช้เครื่องมือการเข้าถึงระยะไกลหรือแบ็คดอร์ ทำให้ผู้โจมตีสามารถควบคุมระบบที่ติดไวรัสได้ ซึ่งอาจนำไปสู่การเข้าถึงเครือข่ายองค์กรโดยไม่ได้รับอนุญาต การละเมิดข้อมูล และระบบถูกบุกรุกเพิ่มเติม
• การใช้งาน Ransomware : มัลแวร์ตัวดาวน์โหลดอาจใช้เพื่อติดตั้ง Ransomware ซึ่งสามารถเข้ารหัสไฟล์ของเหยื่อและเรียกร้องค่าไถ่เพื่อแลกกับการปล่อยตัวเหยื่อ ซึ่งอาจส่งผลให้สูญเสียข้อมูลจำนวนมากและการดำเนินงานหยุดชะงัก
• ความเสี่ยงที่เพิ่มขึ้น : เมื่อติดตั้งแล้ว มัลแวร์ที่ดาวน์โหลดมาจะทำให้การป้องกันของระบบอ่อนแอลงและสร้างช่องโหว่ที่มัลแวร์ประเภทอื่นสามารถใช้ประโยชน์ได้ ทำให้ผู้โจมตีสามารถปล่อยภัยคุกคามที่อันตรายหรือต่อเนื่องได้ง่ายขึ้น
• การแพร่กระจายเครือข่าย : มัลแวร์ดาวน์โหลดสามารถแพร่กระจายไปทั่วเครือข่าย ทำให้อุปกรณ์และระบบอื่นๆ ในสภาพแวดล้อมเดียวกันติดเชื้อได้ ซึ่งอาจทำให้เกิดความเสียหายเป็นวงกว้างและเพิ่มความซับซ้อนในการแก้ไขปัญหา
• การสูญเสียทรัพยากร : มัลแวร์สามารถใช้ทรัพยากรระบบ เช่น CPU และแบนด์วิดท์ ส่งผลให้ประสิทธิภาพลดลงและอาจเกิดการหยุดให้บริการได้ ซึ่งอาจส่งผลต่อประสิทธิภาพการทำงานและเพิ่มต้นทุนการดำเนินงาน
• ความเสี่ยงทางกฎหมายและการปฏิบัติตามข้อกำหนด : องค์กรที่ติดไวรัสอาจเผชิญกับปัญหาทางกฎหมายและการปฏิบัติตามข้อกำหนด โดยเฉพาะอย่างยิ่งหากการละเมิดข้อมูลเกี่ยวข้องกับข้อมูลที่ละเอียดอ่อนหรือข้อมูลที่ได้รับการควบคุม ซึ่งอาจส่งผลให้ต้องเสียค่าปรับ ดำเนินคดีทางกฎหมาย และเสียชื่อเสียง

โดยรวมแล้วมัลแวร์ที่ดาวน์โหลดถือเป็นภัยคุกคามร้ายแรงเนื่องจากมีบทบาทในการอำนวยความสะดวกในการโจมตีเพิ่มเติม และส่งผลกระทบต่อความปลอดภัยและความสมบูรณ์ของระบบและเครือข่ายที่ได้รับผลกระทบ