นักวิจัยไซเบอร์ติดกับแอพลวง dnSpy
แอพพลิเคชั่น dnSpy ที่เป็นอันตรายนั้นถ้าดูเผินๆจะเหมือนโปรแกรมทั่วๆไป
เวลาที่เราค้นหาโปรแกรมต่างๆบนเว็บไซต์สำหรับการค้นหา (Search Engine) เรามักจะพบโปรแกรมมากมายให้เราใช้งานออนไลน์หรือดาวน์โหลดมาใช้ โดยที่ไม่รู้เลยว่าโปรแกรมดังกล่าวถูกเขียนขึ้นมาเพื่อให้บริการจริงๆ หรือว่าเป็นมัลแวร์ที่แฝงตัวมาในรูปแบบของโปรแกรม บทความนี้เราจะมาคุยถึงเรื่องนี้กันครับ
dnSpy โปรแกรมตรวจแก้จุดบกพร่อง (Debugger) และตัวแก้ไขไฟล์รวมที่เป็น .NET (.NET Assembly) ยอดนิยมที่มักจะถูกใช้เพื่อแก้ไข ปรับแต่ง และถอดรหัสโปรแกรม .NET ต่างๆ มีผู้ใช้งานเจ้า dnSpy เป็นจำนวนมาก ซึ่งนั่นรวมไปถึงนักวิจัยด้าน Cyber Security ที่ใช้ dnSpy ในการวิเคราะห์ภัยคุกคามหรือซอฟต์แวร์ที่เป็น .NET อยู่เป็นประจำ ทำให้การโจมตีครั้งนี้มีนักวิจัยที่ตกเป็นเหยื่อด้วยเช่นกัน
แฮกเกอร์ได้ทำการสร้างที่เก็บ dnSpy บน GitHub ที่เป็นเว็บบริการพื้นที่ทางอินเทอร์เน็ต สำหรับเก็บการควบคุมการปรับปรุงแก้ไขโดยใช้กิต ซึ่งถูกใช้เพื่อจัดเก็บรหัสต้นฉบับ (Source Code) ทำให้การปลอมแปลง dnSpy ครั้งนี้แฮกเกอร์ได้ติดตั้งมัลแวร์ที่มีความสามารถหลากหลาย อาทิ ปล้นคลิปบอร์ดเพื่อขโมยสกุลเงินดิจิทัล โทรจันเข้าถึงจากระยะไกล เครื่องขุด บิตคอยน์ และอื่นๆที่ไม่รู้จักอีกมากมาย ลงในเครื่องของเหยื่อที่ใช้ dnSpy ตัวปลอมราวกับกลัวว่าจะไม่มีใครใช้เจ้า dnSpy
โดยตัวปลอมนี้ เพราะแฮกเกอร์ยังสร้างเว็บไซต์ที่ออกแบบอย่างสวยงามและดูเป็นทางการ พร้อมทำการโปรโมทเว็บไซต์ให้ปรากฏบนหน้าแรกของ Google โดยโดเมนนี้ยังมีการแสดงอย่างเด่นชัดใน Bing, Yahoo, AOL, Yandex และ Ask.com
แอพพลิเคชั่น dnSpy ที่เป็นอันตรายนั้นถ้าดูเผินๆจะเหมือนโปรแกรมทั่วๆไป แต่เมื่อเราเปิดแอพพลิเคชัน dnSpy ปลอมนี้ แอพพลิเคชันจะดำเนินการใช้ชุดคำสั่งที่สร้างงานตามกำหนดเวลาและทำงานด้วยสิทธิ์ระดับสูง โดยจะดำเนินการดังต่อไปนี้
1.ปิดการใช้งาน Microsoft Defender
2.ใช้ bitsadmin.exe เพื่อดาวน์โหลด curl.exe ไปยัง %windir%\system32\curl.exe
3.ใช้ curl.exe
4.bitsadmin.exe เพื่อดาวน์โหลด payloads ที่หลากหลายไปยังโฟลเดอร์ C:\Trash และ
5.เปิดใช้งาน ปิดการใช้งานการควบคุมบัญชีผู้ใช้
การโจมตีด้วยวิธีการดังกล่าวบางครั้งก็ประสบความสำเร็จ บางครั้งก็ล้มเหลว แต่หากรวบรวมจำนวนครั้งที่โจมตีสำเร็จจะพบว่า แฮกเกอร์ได้ขโมยการทำธุรกรรมไปได้แล้วทั้งหมด 68 บิตคอยน์ รวมเป็นเงินประมาณ 4,200 ดอลลาร์ โดยที่อยู่สกุลเงินดิจิทัลที่ใช้เป็นส่วนหนึ่งของแคมเปญนี้
ผมได้สรุปมาให้ท่านตามนี้ครับ
Bitcoin: 175A7JNERg82zY3xwGEEMq8EyCnKn797Z4
Ethereum: 0x4dd10a91e43bc7761e56da692471cd38c4aaa426 Tron: TPRNNuj6gpBQt4PLsNv7ZVeYHyRJGgJA61
Litecoin: LQFiuJQCfRqcR9TjqYmi1ne7aANpyKdQpX
ถึงแม้ว่าในขณะนี้ทั้ง dnSpy[.]net และที่เก็บ GitHub ที่ใช้ในการขับเคลื่อนแคมเปญนี้จะปิดตัวลง แต่นักวิจัยและนักพัฒนาด้านความปลอดภัยจำเป็นต้องคอยจับตาดูโปรเจคที่คัดลอกขึ้นมาจากของเดิมที่อาจมีการติดตั้งมัลแวร์บนอุปกรณ์ของพวกเขาต่อไป
ในส่วนของเราผู้ใช้งานก็ต้องจับตาดูเช่นกันครับว่า โปรแกรมใดน่าสงสัย ต่อให้เป็นโปรแกรมที่คนนิยมใช้ หรือเป็นโปรแกรมที่เมื่อค้นหาในเว็บไซต์ชื่อดังอย่าง Google แล้วขึ้นมาเป็นอันดับแรกก็ยังต้องเฝ้าระวังอยู่ดี หากมีข่าวคราวอะไรอีกผมจะรีบนำมาแจ้งให้ท่านทราบทันทีครับ