ส่วนลดหลายใบอนุญาต
Threat Database Malware พาวเวอร์เมจิค

พาวเวอร์เมจิค

โดย Mezo ใน Malware, Backdoors
แปลเป็น:
ภาษาไทย

การวิจัยล่าสุดได้เปิดโปงการรณรงค์จารกรรมทางไซเบอร์แบบใหม่ที่มุ่งเป้าไปที่หน่วยงานรัฐบาลและองค์กรอื่น ๆ ที่ดำเนินงานภายในภูมิภาคของยูเครนซึ่งปัจจุบันถูกยึดครองโดยรัสเซีย แคมเปญนี้ใช้มัลแวร์สองสายพันธุ์ที่แตกต่างกันและไม่รู้จักมาก่อน ซึ่งได้รับการขนานนามว่า PowerMagic และ CommonMagic

ผู้โจมตีใช้มัลแวร์สายพันธุ์เหล่านี้เพื่อขโมยข้อมูลจากอุปกรณ์เป้าหมายที่เป็นของหน่วยงานที่ตั้งอยู่ในภูมิภาค Donetsk, Lugansk และ Crimea เป้าหมายของการรณรงค์จารกรรมนี้รวมถึงหน่วยงานของรัฐ เช่นเดียวกับองค์กรการเกษตรและการขนส่ง

ดูเหมือนว่ามีความเป็นไปได้สูงที่แคมเปญจารกรรมทางไซเบอร์ครั้งล่าสุดนี้เป็นส่วนหนึ่งของความขัดแย้งทางไซเบอร์ที่ใหญ่ขึ้นระหว่างยูเครนและรัสเซีย เนื่องจากความขัดแย้งที่เกิดขึ้นอย่างต่อเนื่องในภูมิภาคนี้

ผู้โจมตีใช้อีเมลฟิชชิ่งและเอกสารล่อลวง

ผู้โจมตีที่อยู่เบื้องหลังเหตุการณ์นี้เผยแพร่มัลแวร์โดยใช้อีเมลฟิชชิ่งซึ่งมีไฮเปอร์ลิงก์ไปยังไฟล์เก็บถาวร .zip ที่โฮสต์บนเซิร์ฟเวอร์ที่มีเจตนาร้าย

ไฟล์เก็บถาวร .zip ประกอบด้วยไฟล์สองไฟล์: เอกสารที่ถูกปลอมแปลงเพื่อให้ดูเหมือนเป็นกฤษฎีกาอย่างเป็นทางการ โดยมีตัวอย่าง เช่น การแจ้งเตือนที่เกี่ยวข้องกับการเลือกตั้งรัฐสภาในไครเมียหรือการวางแผนงบประมาณในโดเนตสค์ รวมถึงไฟล์ .lnk ที่เป็นอันตราย เมื่อเปิดขึ้นมา ไฟล์ .lnk นี้จะเริ่มต้นมัลแวร์และทำให้อุปกรณ์เป้าหมายติดไวรัส

ในช่วงแรกของการโจมตี แฮ็กเกอร์ใช้แบ็คดอร์ที่ใช้ PowerShell ซึ่งเรียกว่า PowerMagic เพื่อแทรกซึมเข้าไปในระบบ

PowerMagic มาพร้อมกับความสามารถในการคุกคามที่หลากหลาย

จากการตรวจสอบเพิ่มเติมของประตูหลัง PowerMagic พบว่าส่วนหลักของประตูหลังถูกอ่านจากไฟล์ที่อยู่ใน %APPDATA%\WinEventCom\config ไฟล์นี้จะถูกถอดรหัสโดยใช้อัลกอริธึม XOR อย่างง่าย

หลังการถอดรหัส แบ็คดอร์จะเข้าสู่วงวนไม่สิ้นสุดที่สื่อสารกับเซิร์ฟเวอร์ Command and Control (C&C) ที่กำหนดไว้อย่างต่อเนื่อง ประตูหลังจะรับคำสั่งจากเซิร์ฟเวอร์และตอบกลับด้วยผลลัพธ์ที่อัปโหลด

เมื่อ PowerMagic สร้างการเชื่อมต่อกับเซิร์ฟเวอร์ C&C ได้สำเร็จ PowerMagic จะมีความสามารถในการดำเนินการคำสั่งโดยอำเภอใจ ผลลัพธ์ของคำสั่งที่ดำเนินการเหล่านี้จะถูกส่งไปยังบริการคลาวด์ เช่น Dropbox และ Microsoft OneDrive

อย่างไรก็ตาม หนึ่งในภารกิจหลักของ PowerMagic คือการส่งมอบเฟรมเวิร์ก CommonMagic ขั้นต่อไปให้กับอุปกรณ์ที่ติดไวรัส CommonMagic เป็นเครื่องมืออันตรายที่ซับซ้อนกว่าที่สามารถทำงานบางอย่างได้

มาแรง

ติดตามคลิกคริสตัล

Browser Hijackers
ในภูมิทัศน์ดิจิทัลอันกว้างใหญ่ แอปพลิเคชั่นที่น่ารำคาญชื่อ Click Crystal ได้เกิดขึ้น สร้างความปั่นป่วนให้กับผู้ใช้อินเทอร์เน็ตด้วยการโจมตีของโฆษณาออนไลน์ในรูปแบบของป๊อปอัป แบนเนอร์...

เข้าชมมากที่สุด

Lookmovie.io ปลอดภัยหรือไม่? สกรีนช็อต

Lookmovie.io ปลอดภัยหรือไม่?

Issue
29,393
Lookmovie.io เป็นเว็บไซต์สตรีมมิ่งวิดีโอ ปัญหาคือมีการนำเสนอเนื้อหาสำหรับการสตรีมอย่างผิดกฎหมาย นอกจากนี้ ไซต์ดังกล่าวยังสร้างรายได้จากเครือข่ายโฆษณาอันธพาลอีกด้วย ด้วยเหตุนี้...

'Geek Squad' อีเมลหลอกลวง

Phishing, Spam
15,882
Geek Squad ผู้ให้บริการสนับสนุนด้านเทคนิคยอดนิยม ได้กลายเป็นเหยื่อของกลโกงฟิชชิ่งที่เรียกว่า Geek Squad Email Scam กลโกงการสนับสนุนทางเทคนิคนี้ใช้อีเมลปลอมที่หลอกลวงให้ผู้คนเปิดเผยข้อมูลส่วนบุคคล เช่น รายละเอียดบัตรเครดิต ที่อยู่อีเมล และแม้แต่หมายเลขประกันสังคม ในบทความนี้ เราจะพูดถึงตัวการหลอกลวง หน้าตาเป็นอย่างไร อีเมลปลอมมาจากไหน ผู้หลอกลวงต้องการอะไร...
กำลังโหลด...