มัลแวร์โทรจัน-พร็อกซี
เว็บไซต์โกงที่ทำงานเป็นแพลตฟอร์มสำหรับซอฟต์แวร์ละเมิดลิขสิทธิ์ได้รับการระบุว่าเป็นแหล่งหลักของแอปโทรจันที่แพร่ระบาดไปยังผู้ใช้ macOS ด้วยมัลแวร์ Trojan-Proxy ใหม่ มัลแวร์นี้ช่วยให้ผู้โจมตีสามารถสร้างรายได้โดยการสร้างเครือข่ายพร็อกซีเซิร์ฟเวอร์หรือมีส่วนร่วมในกิจกรรมที่ผิดกฎหมายในนามของเหยื่อ กิจกรรมดังกล่าวอาจรวมถึงการโจมตีเว็บไซต์ บริษัท และบุคคล ตลอดจนการซื้ออาวุธปืน ยาเสพติด และสิ่งของผิดกฎหมายอื่นๆ
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยหลักฐานที่บ่งชี้ว่ามัลแวร์นี้ก่อให้เกิดภัยคุกคามข้ามแพลตฟอร์ม สิ่งนี้พิสูจน์ได้ด้วยสิ่งประดิษฐ์ที่ค้นพบทั้งระบบ Windows และ Android ซึ่งเกี่ยวข้องกับเครื่องมือละเมิดลิขสิทธิ์
สารบัญ
มัลแวร์โทรจัน-พร็อกซีสามารถแพร่เชื้อไปยังอุปกรณ์ macOS ได้
เวอร์ชัน macOS ของแคมเปญแพร่กระจายโดยการปลอมแปลงเป็นมัลติมีเดียที่ถูกต้องตามกฎหมาย การแก้ไขรูปภาพ การกู้คืนข้อมูล และเครื่องมือเพิ่มประสิทธิภาพการทำงาน สิ่งนี้บ่งชี้ว่าบุคคลที่มองหาซอฟต์แวร์ละเมิดลิขสิทธิ์กลายเป็นจุดสำคัญของการโจมตี ต่างจากไฟล์ต้นฉบับของแท้ซึ่งกระจายเป็นไฟล์ดิสก์อิมเมจ (.DMG) เวอร์ชันปลอมจะถูกจัดเตรียมให้เป็นตัวติดตั้ง .PKG โปรแกรมติดตั้งเหล่านี้มีสคริปต์หลังการติดตั้งที่ก่อให้เกิดกิจกรรมที่เป็นอันตรายหลังจากกระบวนการติดตั้ง เนื่องจากโดยทั่วไปตัวติดตั้งจะร้องขอสิทธิ์ของผู้ดูแลระบบ สคริปต์ที่ดำเนินการจึงสืบทอดสิทธิ์เหล่านี้
วัตถุประสงค์สูงสุดของแคมเปญนี้คือการปล่อย Trojan-Proxy ซึ่งปลอมตัวเป็นกระบวนการ WindowServer บน macOS เพื่อหลบเลี่ยงการตรวจจับ WindowServer ทำหน้าที่เป็นกระบวนการระบบพื้นฐานที่รับผิดชอบในการจัดการ Windows และแสดงผลส่วนติดต่อผู้ใช้แบบกราฟิก (GUI) ของแอปพลิเคชัน
โทรจัน-พร็อกซีรอคำสั่งจากผู้โจมตีอย่างลับๆ
เมื่อดำเนินการบนอุปกรณ์ที่ถูกบุกรุก มัลแวร์จะพยายามรับที่อยู่ IP ของเซิร์ฟเวอร์ Command-and-Control (C2) สำหรับการเชื่อมต่อผ่าน DNS-over-HTTPS (DoH) ซึ่งทำได้โดยการเข้ารหัสคำขอและการตอบกลับ DNS โดยใช้โปรโตคอล HTTPS
ต่อจากนั้น Trojan-Proxy จะสร้างการสื่อสารกับเซิร์ฟเวอร์ C2 เพื่อรอคำแนะนำเพิ่มเติม โดยจะประมวลผลข้อความขาเข้าเพื่อดึงข้อมูล เช่น ที่อยู่ IP ที่จะเชื่อมต่อ โปรโตคอลที่จะใช้ และข้อความที่จะส่ง สิ่งนี้บ่งบอกถึงความสามารถในการทำงานเป็นพร็อกซีผ่าน TCP หรือ UDP โดยเปลี่ยนเส้นทางการรับส่งข้อมูลผ่านโฮสต์ที่ติดไวรัส
ตามข้อมูลที่นักวิจัยให้ไว้ มัลแวร์โทรจัน-พร็อกซีสามารถตรวจสอบย้อนกลับไปได้ตั้งแต่วันที่ 28 เมษายน 2023 เพื่อตอบโต้ภัยคุกคามดังกล่าว ขอแนะนำอย่างยิ่งให้ผู้ใช้พยายามอย่าดาวน์โหลดซอฟต์แวร์จากแหล่งที่ไม่น่าเชื่อถือ
ภัยคุกคามจากโทรจันสามารถตั้งโปรแกรมให้ดำเนินการการกระทำที่ไม่ปลอดภัยได้หลากหลาย
มัลแวร์โทรจันก่อให้เกิดความเสี่ยงที่หลากหลายต่อผู้ใช้เนื่องจากการหลอกลวงและมีลักษณะหลายแง่มุม ขอแนะนำอย่างยิ่งให้ผู้ใช้ใช้วิธีการรักษาความปลอดภัยที่ครอบคลุมบนอุปกรณ์ของตน หรือเสี่ยงต่อผลกระทบที่สำคัญในกรณีที่ติดไวรัสโทรจัน:
- เพย์โหลดที่ปกปิด : โทรจันปลอมตัวเป็นซอฟต์แวร์หรือไฟล์ที่ถูกกฎหมาย หลอกให้ผู้ใช้ติดตั้งโค้ดที่เป็นอันตรายโดยไม่รู้ตัว เพย์โหลดที่ซ่อนอยู่อาจรวมถึงแรนซัมแวร์ สปายแวร์ คีย์ล็อกเกอร์ หรือซอฟต์แวร์ทำลายล้างประเภทอื่นๆ
- การโจรกรรมข้อมูล : โทรจันมักมุ่งรวบรวมข้อมูลเฉพาะ รวมถึงข้อมูลการเข้าสู่ระบบ ข้อมูลทางการเงิน หรือรายละเอียดส่วนบุคคล ข้อมูลที่รวบรวมนี้สามารถนำไปใช้ประโยชน์เพื่อวัตถุประสงค์ที่ไม่ปลอดภัยต่างๆ รวมถึงการขโมยข้อมูลประจำตัว การฉ้อโกงทางการเงิน หรือการเข้าถึงบัญชีที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต
- การเข้าถึงระยะไกล : โทรจันบางตัวได้รับการออกแบบเพื่อให้ผู้โจมตีเข้าถึงระยะไกลโดยไม่ได้รับอนุญาต เมื่อโทรจันถูกใช้งาน ผู้โจมตีจะสามารถควบคุมระบบที่ติดไวรัสได้ อนุญาตให้จัดการไฟล์ ติดตั้งมัลแวร์เพิ่มเติม หรือแม้แต่ใช้อุปกรณ์ที่ถูกบุกรุกในการโจมตีในวงกว้าง
- การสร้างบอตเน็ต : โทรจันสามารถมีส่วนร่วมในการสร้างบอตเน็ตได้ Botnet คือเครือข่ายของคอมพิวเตอร์ที่ถูกดัดแปลงซึ่งควบคุมโดยหน่วยงานเดียว บอตเน็ตเหล่านี้สามารถนำมาใช้ในกิจกรรมที่ไม่ปลอดภัยต่างๆ เช่น การโจมตีแบบ Distributed Denial-of-Service (DDoS) การแพร่กระจายสแปม หรือการเข้าร่วมในภัยคุกคามทางไซเบอร์อื่นๆ
- ความเสียหายของระบบ : โทรจันอาจถูกตั้งโปรแกรมให้ก่อให้เกิดอันตรายโดยตรงต่อระบบของผู้ใช้โดยการลบไฟล์ ปรับเปลี่ยนการตั้งค่า หรือทำให้ระบบไม่สามารถใช้งานได้ ซึ่งอาจส่งผลให้ข้อมูลสูญหายอย่างมีนัยสำคัญและขัดขวางกิจกรรมการประมวลผลตามปกติ
- บริการพร็อกซี : โทรจันบางตัวทำหน้าที่เป็นพร็อกซีเซิร์ฟเวอร์ ช่วยให้ผู้โจมตีสามารถกำหนดเส้นทางการรับส่งข้อมูลอินเทอร์เน็ตผ่านระบบที่ติดไวรัส สิ่งนี้สามารถนำไปใช้เพื่อดำเนินกิจกรรมที่เป็นอันตรายในขณะที่ซ่อนแหล่งที่มาที่แท้จริงของการโจมตี ทำให้ยากสำหรับเจ้าหน้าที่ในการติดตามต้นกำเนิด
- การเผยแพร่มัลแวร์อื่นๆ : โทรจันมักทำหน้าที่เป็นช่องทางในการส่งมัลแวร์ประเภทอื่นๆ เมื่อเข้าสู่ระบบแล้ว พวกเขาสามารถดาวน์โหลดและติดตั้งซอฟต์แวร์ที่เป็นอันตรายเพิ่มเติม ซึ่งทำให้ผู้ใช้ต้องเผชิญกับภัยคุกคามมากขึ้น
เพื่อลดความเสี่ยงที่เกี่ยวข้องกับมัลแวร์โทรจัน ผู้ใช้ควรปฏิบัติตามหลักปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่แข็งแกร่ง รวมถึงการใช้ซอฟต์แวร์ป้องกันมัลแวร์ที่มีชื่อเสียง การอัปเดตระบบเป็นประจำ และใช้ความระมัดระวังเมื่อดาวน์โหลดไฟล์หรือคลิกลิงก์ โดยเฉพาะอย่างยิ่งจากแหล่งที่ไม่น่าเชื่อถือ
