มัลแวร์ SnappyClient
SnappyClient เป็นมัลแวร์ขั้นสูงที่เขียนด้วยภาษา C++ และเผยแพร่ผ่านตัวโหลดที่เรียกว่า HijackLoader มันทำงานเป็นโทรจันสำหรับการเข้าถึงระยะไกล (RAT) ทำให้ผู้ร้ายทางไซเบอร์สามารถควบคุมระบบที่ถูกบุกรุกและดึงข้อมูลสำคัญออกมาได้ เมื่อเข้าไปในอุปกรณ์แล้ว มัลแวร์จะเชื่อมต่อกับเซิร์ฟเวอร์ควบคุมและสั่งการ (C2) เพื่อรับคำสั่งและดำเนินการที่เป็นอันตราย
สารบัญ
เทคนิคการหลบเลี่ยงและการควบคุมระบบ
เพื่อไม่ให้ถูกตรวจจับ SnappyClient จะเข้าไปแทรกแซงกลไกความปลอดภัยในตัวของ Windows กลยุทธ์สำคัญอย่างหนึ่งคือการแก้ไขส่วนติดต่อการสแกนมัลแวร์ (AMSI) ซึ่งมีหน้าที่สแกนสคริปต์และโค้ดเพื่อหาพฤติกรรมที่เป็นอันตราย แทนที่จะปล่อยให้ AMSI ตรวจจับภัยคุกคาม มัลแวร์จะดัดแปลงผลลัพธ์ของ AMSI เพื่อให้กิจกรรมที่เป็นอันตรายดูเหมือนปลอดภัย
มัลแวร์นี้ยังอาศัยรายการการกำหนดค่าภายในที่กำหนดพฤติกรรมของมัน การตั้งค่าเหล่านี้จะกำหนดว่าข้อมูลใดจะถูกรวบรวม ที่ใดจะถูกจัดเก็บ วิธีการรักษาการทำงานอย่างต่อเนื่อง และว่าการทำงานจะดำเนินต่อไปภายใต้เงื่อนไขบางประการหรือไม่ การกำหนดค่านี้ทำให้มั่นใจได้ว่ามัลแวร์จะยังคงทำงานอยู่แม้หลังจากรีบูตระบบแล้ว
นอกจากนี้ SnappyClient ยังดึงไฟล์ที่เข้ารหัสสองไฟล์จากเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม ไฟล์เหล่านี้ถูกจัดเก็บในรูปแบบที่ซ่อนเร้นและใช้เพื่อควบคุมการทำงานของมัลแวร์บนระบบที่ติดเชื้อแบบไดนามิก
ความสามารถในการควบคุมระบบอย่างครอบคลุม
SnappyClient ช่วยให้ผู้โจมตีสามารถควบคุมอุปกรณ์ที่ถูกบุกรุกได้อย่างลึกซึ้ง มันสามารถจับภาพหน้าจอและส่งไปยังผู้ควบคุมระยะไกล ทำให้ผู้โจมตีสามารถมองเห็นกิจกรรมของผู้ใช้ได้อย่างชัดเจน นอกจากนี้ มัลแวร์นี้ยังช่วยให้สามารถจัดการกระบวนการทำงานได้อย่างเต็มที่ ทำให้ผู้โจมตีสามารถตรวจสอบ ระงับ เริ่มทำงานต่อ หรือยุติกระบวนการที่กำลังทำงานอยู่ได้ ยิ่งไปกว่านั้น มันยังรองรับการแทรกโค้ดเข้าไปในกระบวนการที่ถูกต้องตามกฎหมาย ช่วยให้มันทำงานได้อย่างลับๆ ภายในระบบ
การจัดการระบบไฟล์เป็นความสามารถหลักอีกอย่างหนึ่งของมัลแวร์นี้ มัลแวร์สามารถเรียกดูไดเร็กทอรี สร้างหรือลบไฟล์และโฟลเดอร์ และดำเนินการต่างๆ เช่น การคัดลอก การย้าย การเปลี่ยนชื่อ การบีบอัด หรือการแตกไฟล์ แม้แต่ไฟล์ที่ได้รับการป้องกันด้วยรหัสผ่าน นอกจากนี้ยังสามารถเรียกใช้ไฟล์และวิเคราะห์ทางลัดได้อีกด้วย
ฟังก์ชันการขโมยข้อมูลและการสอดแนม
เป้าหมายหลักอย่างหนึ่งของ SnappyClient คือการขโมยข้อมูล มันมีโปรแกรมดักจับการกดแป้นพิมพ์ (keylogger) ในตัวที่บันทึกการกดแป้นพิมพ์และส่งข้อมูลที่ดักจับได้ไปยังผู้โจมตี นอกจากนั้น มันยังสามารถดึงข้อมูลสำคัญต่างๆ จากเบราว์เซอร์และแอปพลิเคชันอื่นๆ ได้มากมาย รวมถึงข้อมูลการเข้าสู่ระบบ คุกกี้ ประวัติการท่องเว็บ บุ๊กมาร์ก ข้อมูลเซสชัน และข้อมูลที่เกี่ยวข้องกับส่วนขยาย
มัลแวร์นี้ยังสามารถค้นหาและขโมยไฟล์หรือไดเร็กทอรีที่เฉพาะเจาะจงได้ โดยอิงตามตัวกรองที่ผู้โจมตีกำหนด เช่น ชื่อไฟล์หรือพาธ นอกจากการขโมยข้อมูลแล้ว ยังสามารถดาวน์โหลดไฟล์จากเซิร์ฟเวอร์ระยะไกลและจัดเก็บไว้ในเครื่องที่ติดมัลแวร์ได้อีกด้วย
คุณสมบัติการดำเนินการและการใช้ประโยชน์ขั้นสูง
SnappyClient รองรับวิธีการหลายวิธีในการเรียกใช้เพย์โหลดที่เป็นอันตราย มันสามารถเรียกใช้ไฟล์ปฏิบัติการมาตรฐาน โหลดไลบรารีแบบไดนามิก (DLL) หรือแยกและเรียกใช้เนื้อหาจากไฟล์ที่ถูกบีบอัด นอกจากนี้ยังอนุญาตให้ผู้โจมตีสามารถกำหนดพารามิเตอร์การเรียกใช้ เช่น ไดเร็กทอรีการทำงานและอาร์กิวเมนต์บรรทัดคำสั่ง ในบางกรณี มันพยายามหลีกเลี่ยงการควบคุมบัญชีผู้ใช้ (UAC) เพื่อให้ได้สิทธิ์ระดับสูงขึ้น
คุณสมบัติเด่นอื่นๆ ได้แก่ ความสามารถในการเปิดเซสชันเบราว์เซอร์แบบซ่อนเร้น ซึ่งช่วยให้ผู้โจมตีสามารถตรวจสอบและจัดการกิจกรรมบนเว็บได้โดยที่ผู้ใช้ไม่รู้ตัว นอกจากนี้ยังมีอินเทอร์เฟซบรรทัดคำสั่งสำหรับการเรียกใช้คำสั่งระบบจากระยะไกล การจัดการคลิปบอร์ดเป็นอีกฟังก์ชันที่อันตราย ซึ่งมักใช้เพื่อแทนที่ที่อยู่กระเป๋าเงินคริปโตเคอร์เรนซีด้วยที่อยู่กระเป๋าเงินที่ผู้โจมตีควบคุมได้
แอปพลิเคชันเป้าหมายและแหล่งข้อมูล
SnappyClient ถูกออกแบบมาเพื่อดึงข้อมูลจากแอปพลิเคชันหลากหลายประเภท โดยเฉพาะอย่างยิ่งเว็บเบราว์เซอร์และเครื่องมือเกี่ยวกับสกุลเงินดิจิทัล
เว็บเบราว์เซอร์เป้าหมาย ได้แก่:
เบราว์เซอร์ที่รองรับ: 360 Browser, Brave, Chrome, CocCoc, Edge, Firefox, Opera, Slimjet, Vivaldi และ Waterfox
กระเป๋าเงินและเครื่องมือคริปโตเคอร์เรนซีเป้าหมาย ได้แก่:
Coinbase, Metamask, Phantom, TronLink, TrustWallet
Atomic, BitcoinCore, Coinomi, Electrum, Exodus, LedgerLive, TrezorSuite และ Wasabi
การกำหนดเป้าหมายในวงกว้างเช่นนี้จะเพิ่มโอกาสในการโจรกรรมทางการเงินและการรั่วไหลของข้อมูลส่วนบุคคลอย่างมาก
วิธีการเผยแพร่ที่หลอกลวง
SnappyClient แพร่กระจายโดยหลักผ่านเทคนิคการส่งมอบที่หลอกลวง ซึ่งออกแบบมาเพื่อหลอกให้ผู้ใช้เรียกใช้ไฟล์ที่เป็นอันตราย วิธีหนึ่งที่พบบ่อยคือการใช้เว็บไซต์ปลอมที่แอบอ้างเป็นบริษัทโทรคมนาคมที่ถูกต้อง เมื่อเข้าชมเว็บไซต์เหล่านี้ เว็บไซต์จะดาวน์โหลด HijackLoader ลงในอุปกรณ์ของเหยื่อโดยไม่ให้ผู้ใช้รู้ตัว หากเรียกใช้งาน โปรแกรมดาวน์โหลดจะติดตั้ง SnappyClient
อีกหนึ่งกลยุทธ์ที่อันตรายคือการใช้ประโยชน์จากแพลตฟอร์มโซเชียลมีเดีย เช่น X (หรือที่รู้จักกันดีในชื่อ Twitter) ผู้โจมตีจะโพสต์ลิงก์หรือคำแนะนำที่ล่อลวงผู้ใช้ให้เริ่มดาวน์โหลด บางครั้งอาจใช้เทคนิคเช่น ClickFix การกระทำเหล่านี้จะนำไปสู่การเรียกใช้ HijackLoader และการติดตั้งมัลแวร์ในที่สุด
ความเสี่ยงและผลกระทบของการติดเชื้อ
SnappyClient เป็นภัยคุกคามด้านความปลอดภัยทางไซเบอร์ที่ร้ายแรง เนื่องจากความสามารถในการซ่อนตัว ความหลากหลายในการใช้งาน และความสามารถที่ครอบคลุม เมื่อถูกติดตั้งแล้ว ผู้โจมตีจะสามารถตรวจสอบกิจกรรมของผู้ใช้ ขโมยข้อมูลสำคัญ ควบคุมการทำงานของระบบ และเรียกใช้โปรแกรมที่เป็นอันตรายอื่นๆ ได้
ผลที่ตามมาจากการติดไวรัสเหล่านี้อาจร้ายแรงมาก รวมถึงการโจรกรรมบัญชี การขโมยข้อมูลส่วนบุคคล การสูญเสียทางการเงิน การติดมัลแวร์เพิ่มเติม และการทำลายระบบในระยะยาว
