จงสตีลเลอร์
ในยุคที่ความปลอดภัยทางดิจิทัลมีความจำเป็นมากกว่าที่เคย การปกป้องอุปกรณ์จากภัยคุกคามที่ซับซ้อนจึงมีความสำคัญอย่างยิ่ง ผู้ก่ออาชญากรรมทางไซเบอร์พัฒนาวิธีการใหม่ๆ อย่างต่อเนื่องเพื่อแทรกซึมเข้าไปในระบบ รวบรวมข้อมูลที่ละเอียดอ่อน และแสวงประโยชน์จากผู้ใช้เพื่อผลประโยชน์ทางการเงิน ภัยคุกคามที่พัฒนาอย่างต่อเนื่องอย่างหนึ่งคือ Zhong Stealer ซึ่งเป็นมัลแวร์ที่แอบซ่อนอยู่ซึ่งออกแบบมาเพื่อแทรกซึมเข้าไปในระบบ Windows รวบรวมข้อมูลที่มีค่า และไม่ถูกตรวจพบเป็นเวลานาน
สารบัญ
Zhong Stealer: ภัยคุกคามแอบแฝงที่แฝงอยู่ในระบบ Windows
Zhong Stealer เป็นภัยคุกคามการขโมยข้อมูลขั้นสูงที่แพร่ระบาดไปยังคอมพิวเตอร์ Windows และทำงานอย่างแอบซ่อนในขณะที่ดึงข้อมูลที่ละเอียดอ่อนของผู้ใช้ เมื่อเข้าไปในระบบแล้ว มัลแวร์จะคงอยู่และดำเนินการชุดหนึ่งที่ออกแบบมาเพื่อหลบเลี่ยงการตรวจจับ มัลแวร์จะสร้างสคริปต์ที่แก้ไขการตั้งค่าระบบ แสดงไฟล์ที่ซ่อนอยู่ และให้สิทธิ์ในการดำเนินการแก่ตัวเอง นอกจากนี้ยังประเมินการตั้งค่าภาษาของระบบเพื่อหลีกเลี่ยงการแพร่ระบาดไปยังเครื่องคอมพิวเตอร์ในภูมิภาคเฉพาะ
เพื่อปกปิดข้อมูลให้มากขึ้น Zhong Stealer จะควบคุม Task Scheduler ให้ทำงานอย่างต่อเนื่องและปิดการทำงานของกลไกการบันทึกข้อมูลที่อาจเปิดเผยกิจกรรมต่างๆ ของมันได้ โดยการรวบรวมรายละเอียดเกี่ยวกับเครื่องที่ถูกบุกรุก รวมถึงการกำหนดค่าเครือข่าย การตั้งค่าความปลอดภัย และตัวระบุระบบ มัลแวร์จะรับประกันการดำเนินการขโมยข้อมูลโดยไม่หยุดชะงัก
Zhong Stealer ใช้ประโยชน์จากระบบที่ถูกบุกรุกได้อย่างไร
หลังจากยึดจุดยืนได้แล้ว Zhong Stealer ก็เปลี่ยนเป้าหมายไปที่การขโมยข้อมูล โดยจะกำหนดเป้าหมายไปที่เบราว์เซอร์ เช่น Brave, Edge และ Internet Explorer เพื่อดึงข้อมูลรับรองที่จัดเก็บไว้ ข้อมูลเซสชัน และโทเค็นการรับรองความถูกต้อง จากนั้นข้อมูลที่รวบรวมได้จะถูกส่งไปยังเซิร์ฟเวอร์ Command-and-Control ระยะไกลที่ควบคุมโดยอาชญากรไซเบอร์
เมื่อผู้โจมตีได้รับข้อมูลรับรองการเข้าสู่ระบบแล้ว พวกเขาก็สามารถเข้าถึงบัญชีออนไลน์ของเหยื่อได้ รวมถึงแพลตฟอร์มทางการเงิน บริการอีเมล และโซเชียลมีเดีย การเข้าถึงบัญชีเหล่านี้โดยไม่ได้รับอนุญาตอาจนำไปสู่การขโมยข้อมูลประจำตัว การขโมยเงิน หรือการโจมตีอื่นๆ เช่น แคมเปญฟิชชิ่งและการแจกจ่ายมัลแวร์ ในบางกรณี ข้อมูลที่ขโมยมาจะถูกขายในตลาดใต้ดิน ซึ่งอาชญากรไซเบอร์รายอื่นจะใช้ประโยชน์จากข้อมูลดังกล่าวเพื่อดำเนินกิจกรรมฉ้อโกงอื่นๆ
โทเค็นการตรวจสอบสิทธิ์และข้อมูลเซสชันของเบราว์เซอร์มีความเสี่ยงมากขึ้น เนื่องจากโทเค็นเหล่านี้ทำให้ผู้โจมตีสามารถหลีกเลี่ยงวิธีการตรวจสอบสิทธิ์แบบเดิมได้ โดยใช้ประโยชน์จากโทเค็นที่รวบรวมเหล่านี้ ผู้ก่ออาชญากรรมทางไซเบอร์สามารถเข้าถึงบัญชีของเหยื่อได้อย่างต่อเนื่องโดยไม่ต้องใช้ข้อมูลรับรองการเข้าสู่ระบบ ทำให้การตรวจจับและบรรเทาความเสี่ยงมีความท้าทายมากขึ้น
ความเสี่ยงของการติดเชื้อ Zhong Stealer
เหยื่อของการติดเชื้อ Zhong Stealer อาจได้รับผลกระทบร้ายแรงตั้งแต่สูญเสียทางการเงินไปจนถึงเสียชื่อเสียง ข้อมูลประจำตัวที่ถูกขโมยไปอาจทำให้เกิดธุรกรรมฉ้อโกง การซื้อของโดยไม่ได้รับอนุญาต หรือแม้แต่การพยายามแบล็กเมล์ ข้อมูลส่วนบุคคลที่อยู่ในมือของผู้ที่ผิดอาจนำไปสู่การขโมยข้อมูลประจำตัว ส่งผลกระทบต่อคะแนนเครดิตและเสถียรภาพทางการเงินของเหยื่อ นอกจากนี้ บัญชีของบริษัทที่ถูกบุกรุกอาจใช้เป็นช่องทางก่อวินาศกรรมภายใน การจารกรรมทางอุตสาหกรรม หรือการละเมิดข้อมูลขนาดใหญ่
นอกจากจะส่งผลเสียต่อการเงินและชื่อเสียงแล้ว ความสามารถของ Zhong Stealer ในการทำงานโดยไม่ถูกตรวจพบเป็นเวลานานยังถือเป็นอันตรายอย่างยิ่ง ผู้ใช้จำนวนมากยังไม่ทราบถึงการติดเชื้อนี้ จนกระทั่งบุคคลที่ไม่ได้รับอนุญาตเข้าถึงบัญชีของพวกเขา ซึ่งเมื่อถึงจุดนั้น ความเสียหายครั้งใหญ่ก็อาจเกิดขึ้นแล้ว
กลยุทธ์การจัดจำหน่ายแบบเจาะจงของ Zhong Stealer
อาชญากรไซเบอร์ที่เผยแพร่ Zhong Stealer มุ่งเน้นไปที่ภาคสกุลเงินดิจิทัลและฟินเทคเป็นหลัก โดยมักใช้แคมเปญฟิชชิ่งที่หลอกลวงอย่างมาก แนวทางที่นิยมใช้คือการใช้แพลตฟอร์มสนับสนุนการแชทที่ถูกต้องตามกฎหมาย เช่น Zendesk ผู้โจมตีจะแอบอ้างเป็นลูกค้าที่ต้องการความช่วยเหลือ โดยเริ่มสนทนากับตัวแทนฝ่ายสนับสนุน และสร้างความน่าเชื่อถือก่อนจะเผยแพร่เพย์โหลดที่เป็นอันตราย
เพื่อเพิ่มโอกาสที่จะประสบความสำเร็จ ผู้คุกคามจะส่งตั๋วสนับสนุนใหม่จากบัญชีที่ลงทะเบียนใหม่ โดยแนบไฟล์ ZIP ที่ประกอบด้วยไฟล์ที่ดูเหมือนไม่เป็นอันตราย เช่น ภาพหน้าจอหรือบันทึกธุรกรรม และกดดันให้ตัวแทนสนับสนุนเปิดไฟล์เหล่านี้ หากดำเนินการ มัลแวร์จะติดตั้งตัวเองในระบบ เริ่มกระบวนการขโมยข้อมูลและเปิดเผยข้อมูลสำคัญของบริษัทหรือลูกค้า
ทำความเข้าใจเกี่ยวกับการตรวจจับผลบวกเท็จ
ในบางกรณี ซอฟต์แวร์ความปลอดภัยที่ถูกต้องตามกฎหมายอาจทำเครื่องหมายโปรแกรมว่าเป็นภัยคุกคาม ทั้งที่ไม่ได้ก่อให้เกิดความเสี่ยงใดๆ เกิดขึ้นจริง ซึ่งเรียกว่าการตรวจจับผลบวกเท็จ กรณีดังกล่าวเกิดขึ้นเมื่อโซลูชันด้านความปลอดภัยระบุไฟล์หรือส่วนประกอบซอฟต์แวร์ที่ไม่เป็นอันตรายว่าไม่ปลอดภัยเนื่องจากพฤติกรรม โครงสร้างไฟล์ หรือความคล้ายคลึงกับภัยคุกคามที่ทราบ การตรวจจับผลบวกเท็จมักเกิดขึ้นบ่อยในแอปพลิเคชันที่โต้ตอบอย่างลึกซึ้งกับการตั้งค่าระบบหรือใช้เทคนิคการเข้ารหัส
แม้ว่าบางครั้งการตรวจพบว่าข้อมูลเป็นบวกเท็จอาจทำให้เกิดการแจ้งเตือนที่ไม่จำเป็น แต่ก็ไม่ควรละเลยข้อมูลเหล่านี้โดยไม่ได้ตรวจสอบ อาชญากรไซเบอร์มักปลอมแปลงภัยคุกคามเป็นไฟล์ที่ถูกต้อง และการมองข้ามคำเตือนอาจส่งผลให้เกิดการละเมิดความปลอดภัยที่ร้ายแรง ผู้ใช้ที่ตรวจพบว่าข้อมูลเป็นบวกเท็จควรตรวจสอบเพิ่มเติมโดยอ้างอิงแหล่งข้อมูลด้านความปลอดภัยทางไซเบอร์และตรวจสอบความถูกต้องของไฟล์ที่ทำเครื่องหมายไว้ก่อนอนุญาตให้ดำเนินการ
การเฝ้าระวังภัยคุกคามที่เกิดขึ้น
เนื่องจากภัยคุกคามเช่น Zhong Stealer มีการพัฒนามากขึ้น การรักษาแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่เข้มงวดจึงยังคงมีความจำเป็น อาชญากรทางไซเบอร์ยังคงพัฒนาเทคนิคต่างๆ เพื่อหลีกเลี่ยงการตรวจพบและเพิ่มผลกระทบจากการโจมตีให้สูงสุด ผู้ใช้สามารถลดความเสี่ยงในการตกเป็นเหยื่อของภัยคุกคามจากการรวบรวมข้อมูลได้ด้วยการคอยติดตามข้อมูล ใช้ความระมัดระวังในการจัดการไฟล์ที่ไม่รู้จัก และใช้มาตรการรักษาความปลอดภัยที่แข็งแกร่ง ภูมิทัศน์ทางดิจิทัลที่เปลี่ยนแปลงตลอดเวลาต้องการการเฝ้าระวังอย่างต่อเนื่องเพื่อให้แน่ใจว่ามีความปลอดภัยส่วนบุคคลและองค์กรในโลกที่เชื่อมต่อถึงกันมากขึ้น
