มัลแวร์ StilachiRAT

นักวิจัยได้ค้นพบ StilachiRAT ซึ่งเป็นโทรจันการเข้าถึงระยะไกลที่ซับซ้อน (RAT) ที่ใช้เทคนิคหลบเลี่ยงขั้นสูงเพื่อคงอยู่ในระบบที่ถูกบุกรุก วัตถุประสงค์หลักของมัลแวร์คือการรวบรวมข้อมูลที่ละเอียดอ่อน ซึ่งก่อให้เกิดภัยคุกคามร้ายแรงต่อทั้งบุคคลและองค์กร

StilachiRAT รวบรวมอะไร

StilachiRAT ได้รับการออกแบบมาเพื่อรวบรวมข้อมูลที่หลากหลายจากระบบที่ติดไวรัส โดยมุ่งเป้าไปที่ข้อมูล เช่น:

• ข้อมูลประจำตัวที่เก็บไว้ในเว็บเบราว์เซอร์
• รายละเอียดกระเป๋าสตางค์ดิจิตอล
• เนื้อหาในคลิปบอร์ด รวมถึงรหัสผ่านและกระเป๋าเงินสกุลเงินดิจิทัล
• ข้อมูลระบบ เช่น เวอร์ชันระบบปฏิบัติการ หมายเลขซีเรียล BIOS สถานะของกล้อง และแอพพลิเคชั่นที่ทำงานอยู่

StilachiRAT ทำงานอย่างไร

StilachiRAT ถูกค้นพบในเดือนพฤศจิกายน 2024 โดยพบอยู่ภายในโมดูล DLL ชื่อ 'WWStartupCtrl64.dll' แม้ว่าวิธีการจัดส่งที่แน่นอนจะยังไม่เป็นที่ทราบ แต่ RAT นี้สามารถแพร่กระจายผ่านช่องทางการโจมตีต่างๆ ได้ ซึ่งเน้นย้ำถึงความสำคัญของมาตรการรักษาความปลอดภัยที่เข้มงวด

เมื่อเข้าไปในระบบแล้ว StilachiRAT จะทำการตรวจสอบระบบอย่างละเอียดเพื่อรวบรวมข้อมูลที่มีค่า เช่น รายละเอียดระบบปฏิบัติการ เซสชัน Remote Desktop Protocol (RDP) ที่ใช้งานอยู่ และตัวระบุฮาร์ดแวร์ เช่น หมายเลขซีเรียล BIOS นอกจากนี้ ยังกำหนดเป้าหมายไปที่ส่วนขยายของกระเป๋าเงินสกุลเงินดิจิทัลภายในเบราว์เซอร์ Google Chrome โดยเฉพาะ รวมถึงกระเป๋าเงินที่เป็นที่รู้จัก เช่น MetaMask, Trust Wallet และ Coinbase Wallet เป็นต้น

การสื่อสารและการควบคุม

StilachiRAT สื่อสารกับเซิร์ฟเวอร์ Command-and-Control (C2) เพื่อส่งและรับคำสั่ง โดยผ่านการสื่อสารสองทางนี้ มัลแวร์สามารถดำเนินการคำสั่งต่างๆ เช่น:

• ล้างบันทึกเหตุการณ์และยุติการเชื่อมต่อเครือข่าย
• บังคับปิดระบบหรือเปิดแอพพลิเคชั่นเฉพาะ
• ตรวจสอบและบันทึกข้อมูลเซสชัน RDP รวมถึงรายละเอียดหน้าต่าง
• ขโมยรหัสผ่าน Google Chrome ที่เก็บไว้และข้อมูลสำคัญอื่น ๆ

ความสามารถเหล่านี้ทำให้ StilachiRAT เป็นเครื่องมืออเนกประสงค์สำหรับการขโมยข้อมูลและการจัดการระบบ โดยสามารถเปิดคำสั่งต่างๆ ได้ถึง 10 คำสั่ง ขึ้นอยู่กับวัตถุประสงค์ของผู้โจมตี

มาตรการต่อต้านการพิสูจน์หลักฐาน

ในการพยายามหลีกเลี่ยงการตรวจจับ StilachiRAT ใช้เทคนิคต่อต้านการตรวจสอบทางนิติเวชต่างๆ ซึ่งได้แก่ การล้างบันทึกเหตุการณ์ การหลีกเลี่ยงเครื่องมือวิเคราะห์ และการตรวจจับสภาพแวดล้อมเสมือนจริงที่ใช้กันทั่วไปสำหรับการวิเคราะห์มัลแวร์ การทำเช่นนี้ทำให้ทีมงานด้านความปลอดภัยทางไซเบอร์มีความท้าทายมากขึ้นในการติดตามและลดการปรากฏตัวของมัลแวร์

วิธีป้องกันอุปกรณ์ของคุณจากภัยคุกคาม RAT (Remote Access Trojan)

Remote Access Trojans (RATs) เป็นมัลแวร์ประเภทหนึ่งที่คุกคามอุปกรณ์ของผู้โจมตี ทำให้ผู้โจมตีสามารถเข้าถึงอุปกรณ์ของคุณโดยไม่ได้รับอนุญาต ทำให้พวกเขารวบรวมข้อมูลที่ละเอียดอ่อน ตรวจสอบกิจกรรมของคุณ และควบคุมระบบของคุณได้ การปกป้องอุปกรณ์ของคุณจากภัยคุกคามดังกล่าวต้องใช้มาตรการรักษาความปลอดภัยเชิงรุกหลายชุด ต่อไปนี้คือกลยุทธ์ต่างๆ ที่ช่วยป้องกัน RAT:

1. อัปเดตซอฟต์แวร์และระบบปฏิบัติการของคุณอยู่เสมอ : ตรวจสอบให้แน่ใจว่าระบบปฏิบัติการ เบราว์เซอร์ และแอปพลิเคชันของคุณได้รับการอัปเดตเป็นประจำ การอัปเดตซอฟต์แวร์มักใช้เพื่อส่งแพตช์ความปลอดภัยที่แก้ไขช่องโหว่ที่ RAT และมัลแวร์อื่นๆ สามารถใช้ประโยชน์ได้ เปิดการอัปเดตอัตโนมัติเพื่อลดความเสี่ยงของการพลาดการแก้ไขด้านความปลอดภัยที่สำคัญ
2. ใช้รหัสผ่านที่แข็งแกร่งและไม่ซ้ำกัน : RAT มักจะรวบรวมข้อมูลประจำตัวที่เก็บไว้ในเบราว์เซอร์หรือกระเป๋าสตางค์ดิจิทัล เพื่อลดความเสี่ยง ให้ใช้รหัสผ่านที่แข็งแกร่งและไม่ซ้ำกันสำหรับแต่ละบัญชีของคุณ การใช้ตัวจัดการรหัสผ่านจะช่วยให้คุณสร้างและจัดเก็บรหัสผ่านที่ซับซ้อนได้อย่างปลอดภัย ควรหลีกเลี่ยงการใช้รหัสผ่านเดียวกันในหลายบัญชี
3. ติดตั้งซอฟต์แวร์ป้องกันมัลแวร์ที่เชื่อถือได้ : โปรแกรมป้องกันมัลแวร์ที่ครอบคลุมสามารถช่วยตรวจจับและลบ RAT ก่อนที่จะสร้างความเสียหายร้ายแรง วิเคราะห์ระบบของคุณเป็นประจำเพื่อหาภัยคุกคาม และตรวจสอบให้แน่ใจว่าซอฟต์แวร์ป้องกันมัลแวร์มีคำจำกัดความไวรัสล่าสุด
4. เปิดใช้งานการตรวจสอบสิทธิ์สองปัจจัย (2FA) : หากเป็นไปได้ ให้เปิดใช้งานการตรวจสอบสิทธิ์สองปัจจัย (2FA) สำหรับบัญชีออนไลน์ของคุณ โดยเฉพาะบัญชีที่มีความละเอียดอ่อน เช่น อีเมล ธนาคาร และกระเป๋าเงินสกุลเงินดิจิทัล แม้ว่า RAT จะขโมยข้อมูลรับรองการเข้าสู่ระบบของคุณ แต่ 2FA จะเพิ่มชั้นการป้องกันเสริมที่ต้องใช้การยืนยันรูปแบบที่สอง
5. ระวังไฟล์แนบและลิงก์ในอีเมล : RAT มักแพร่กระจายผ่านอีเมลฟิชชิ่งหรือลิงก์หลอกลวง ควรระมัดระวังเป็นพิเศษเมื่อเข้าถึงไฟล์แนบหรือลิงก์ในอีเมลจากแหล่งที่ไม่รู้จักหรือแหล่งที่น่าสงสัย ตรวจสอบที่อยู่อีเมลของผู้ส่งและหลีกเลี่ยงการดาวน์โหลดไฟล์จากเว็บไซต์ที่ไม่น่าเชื่อถือ
6. ใช้ไฟร์วอลล์ : ไฟร์วอลล์สามารถช่วยตรวจสอบและควบคุมการรับส่งข้อมูลในเครือข่ายทั้งขาเข้าและขาออก ไฟร์วอลล์สามารถบล็อกการเข้าถึงระบบโดยไม่ได้รับอนุญาต ป้องกันไม่ให้ผู้โจมตีควบคุมอุปกรณ์ของคุณหรือขโมยข้อมูลจากระยะไกล ตรวจสอบให้แน่ใจว่าไฟร์วอลล์ของคุณเปิดใช้งานแล้วและกำหนดค่าอย่างถูกต้อง

• สำรองข้อมูลของคุณเป็นประจำ : ในกรณีที่ RAT แทรกซึมเข้าระบบของคุณได้สำเร็จ การสำรองข้อมูลเป็นประจำจะช่วยให้คุณกู้คืนไฟล์สำคัญของคุณได้ สำรองข้อมูลของคุณไว้ในไดรฟ์ภายนอกหรือที่เก็บข้อมูลบนคลาวด์เพื่อให้แน่ใจว่าข้อมูลของคุณปลอดภัยในกรณีที่ถูกโจมตีด้วยแรนซัมแวร์หรือระบบถูกบุกรุก

• ปิดใช้งาน Remote Desktop Protocol (RDP) หากไม่จำเป็น : Remote Desktop Protocol (RDP) เป็นช่องทางการโจมตีทั่วไปสำหรับ RAT หากคุณไม่จำเป็นต้องใช้ RDP เพื่อเข้าถึงอุปกรณ์จากระยะไกล โปรดพิจารณาปิดใช้งาน RDP ทั้งหมด หากจำเป็นต่อการทำงานของคุณ โปรดใช้รหัสผ่านที่แข็งแกร่งและจำกัดการเข้าถึงเฉพาะที่อยู่ IP ที่เชื่อถือได้เท่านั้น

• ตรวจสอบกระบวนการที่ทำงานอยู่และกิจกรรมเครือข่าย : คอยระวังในการตรวจสอบกระบวนการที่ทำงานอยู่บนระบบของคุณ หากคุณสังเกตเห็นแอปพลิเคชันที่ไม่คุ้นเคยหรือกิจกรรมเครือข่ายที่สูง ให้ตรวจสอบเพิ่มเติมเพื่อให้แน่ใจว่าไม่มี RAT กำลังทำงานอยู่เบื้องหลัง เครื่องมือที่คล้ายกับ Task Manager (บน Windows) หรือ Activity Monitor (บน macOS) สามารถช่วยระบุพฤติกรรมที่น่าสงสัยได้

StilachiRAT เป็นภัยคุกคามทางไซเบอร์ที่สำคัญเนื่องจากมีความสามารถในการขโมยข้อมูลที่ซับซ้อน มีคุณลักษณะในการจัดการระบบ และวิธีการปฏิบัติการที่ซ่อนเร้น เพื่อป้องกันการโจมตีดังกล่าว ทั้งบุคคลและองค์กรจะต้องใช้แนวทางปฏิบัติด้านความปลอดภัยที่เข้มงวดและเฝ้าระวังภัยคุกคามที่เกิดขึ้น

มัลแวร์ StilachiRAT วิดีโอ

เคล็ดลับ: เปิดเสียงของคุณและดูวิดีโอในโหมดเต็มหน้าจอ