นักรบ เนียมนามธรรม

กรรมการผู้จัดการ บริษัท เอ็นฟอร์ซ ซีเคียว จำกัด

9 กรกฎาคม 2561
379

มัลแวร์ยุคใหม่ เลือกรูปแบบการโจมตีได้เอง

แฝงภัยร้ายผ่านอีเมล ไฟล์เอกสาร หลอกล่อให้เหยื่อคลิก

หมดยุคมัลแวร์แบบเก่าที่แฮกเกอร์เป็นผู้กำหนดว่าต้องการอะไรจากเหยื่อ ทั้งการเลือกที่จะฝังมัลแวร์เพื่อขโมยข้อมูลหรือเรียกค่าไถ่ รวมไปถึงการลักลอบขุดเหมืองเงินดิจิทัล 

ล่าสุดนักวิจัยด้านความปลอดภัยพบมัลแวร์ตัวใหม่มีความคิดที่สามารถตัดสินใจได้เองว่าเครื่องเหยื่อจะให้กำไรถ้าถูกโจมตีด้วยรูปแบบใดมากที่สุดระหว่างเรียกค่าไถ่แบบแรนซัมแวร์หรือลักลอบขุดเหมืองเงินดิจิทัล

มัลแวร์นี้ถูกพัฒนามาจากมัลแวร์สายพันธุ์ “รัคนิ (Rakhni)” ที่เริ่มแรกระบาดในรูปแบบแรนซัมแวร์ ที่สามารถล็อคเครื่องของเหยื่อและทำการเข้ารหัส โดยเหยื่อจะได้กุญแจเพื่อเข้าถึงเครื่องได้ก็ต่อเมื่อจ่ายค่าไถ่ แต่รัคนิสายพันธุ์ใหม่นี้เพิ่มเครื่องมือขุดเหมืองเงินดิจิทัลเข้าไปด้วย ซึ่งเป็นการลักลอบใช้ทรัพยากรของเครื่องเหยื่อในการขุด ขณะนี้การใช้แรนซัมแวร์และการลักลอบขุดเหมืองนับเป็นภัยร้ายอันดับต้นๆ ที่แฮกเกอร์มักใช้โจมตีเหยื่อ

มัลแวร์ รัคนิ ถูกแพร่กระจายผ่านการใช้ เสปียร์ ฟิชชิ่ง อีเมล (Spear Fishing Emails) หรือการแฝงภัยร้ายผ่านอีเมลและสร้างรูปแบบอีเมลเพื่อหลอกล่อให้เหยื่อคลิก โดยฝังมัลแวร์ไว้ในไฟล์เอกสารไมโครซอฟท์โดยถูกฝังผ่านไอคอนพีดีเอฟที่อยู่ในไฟล์เวิร์ด เมื่อเหยื่อหลงกลคลิกเปิดจะแสดงกล่องข้อความแสดงข้อผิดพลาดปลอมทันทีเพื่อหลอกล่อเหยื่อให้คิดว่าระบบไฟล์ต้องการให้เปิดเอกสารที่หายไป 

เหยื่อโดยทั่วไปเมื่อเห็นข้อความนี้มักจะหลงกลคลิกอนุญาตให้เปิดไฟล์นั้น ซึ่งเป็นการเปิดการทำงานของมัลแวร์ โดยเริ่มจากการตรวจสอบดูว่าสามารถหลบเลี่ยงการตรวจจับจาก Anti-VM และ Sandbox ได้อย่างไร เพื่อติดตั้งมัลแวร์ในเครื่องเหยื่อ หากติดตั้งได้ต่อจากนั้นจะทำการตรวจสอบต่อว่าจะโจมตีแบบใดกับเครื่องของเหยื่อที่จะได้กำไรมากที่สุดระหว่างแรนซัมแวร์หรือการขุดเหมือง โดยมีการตัดสินใจ เช่น หากเครื่องของเหยื่อมีโฟลเดอร์ที่เกี่ยวกับบิทคอยน์อยู่จะทำการล็อคและเรียกค่าไถ่ 

ขณะที่หากไม่พบโฟลเดอร์ที่เกี่ยวข้องกับบิทคอยน์แต่เครื่องของเหยื่อมีศักยภาพมากพอจะทำการขุดเหมือง มัลแวร์รัคนิ จะทำการติดตั้งเครื่องขุด ลักลอบขุดโดยที่เหยื่อไม่รู้ตัว อย่างไรก็ตามหากพบว่าเครื่องเหยื่อไม่มีทั้งสองเงื่อนไขข้างต้น มัลแวร์จะเปลี่ยนเป็นการโจมตีแบบหนอน(Worm) โดยส่งผลกระทบกับเครื่องอื่นที่อยู่ในเครือข่ายเดียวกัน ที่ผ่านมาแม้ว่ารัคนิจะมีเป้าหมายโจมตีหลักในประเทศรัสเซีย แต่พบเหยื่อบางส่วนในประเทศคาซัคสถาน ยูเครน เยอรมัน และอินเดีย

ดังนั้น วิธีป้องกันที่ดีที่สุด คือ สติของผู้ใช้ ที่ต้องระมัดระวังการคลิกเปิดไฟล์หรืออีเมลที่น่าสงสัยหรือไม่น่าไว้ใจ และควรมีการสำรองข้อมูลรวมถึงการอัพเดทแพทช์ของซอฟต์แวร์อยู่เสมอ ส่วนองค์กรเองควรมีนโยบายในการบริหารความปลอดภัยระบบที่รัดกุมและครอบคลุม และหมั่นตรวจสอบอยู่เสมอ เพื่อลดความเสี่ยงและความสูญเสียจากการโจมตีจากภัยร้ายเหล่านี้

แชร์ข่าว :
Tags: