นักวิจัยไซเบอร์ติดกับแอพลวง dnSpy

เวลาที่เราค้นหาโปรแกรมต่างๆบนเว็บไซต์สำหรับการค้นหา (Search Engine) เรามักจะพบโปรแกรมมากมายให้เราใช้งานออนไลน์หรือดาวน์โหลดมาใช้ โดยที่ไม่รู้เลยว่าโปรแกรมดังกล่าวถูกเขียนขึ้นมาเพื่อให้บริการจริงๆ หรือว่าเป็นมัลแวร์ที่แฝงตัวมาในรูปแบบของโปรแกรม บทความนี้เราจะมาคุยถึงเรื่องนี้กันครับ

dnSpy โปรแกรมตรวจแก้จุดบกพร่อง (Debugger) และตัวแก้ไขไฟล์รวมที่เป็น .NET (.NET Assembly) ยอดนิยมที่มักจะถูกใช้เพื่อแก้ไข ปรับแต่ง และถอดรหัสโปรแกรม .NET ต่างๆ มีผู้ใช้งานเจ้า dnSpy เป็นจำนวนมาก ซึ่งนั่นรวมไปถึงนักวิจัยด้าน Cyber Security ที่ใช้ dnSpy ในการวิเคราะห์ภัยคุกคามหรือซอฟต์แวร์ที่เป็น .NET อยู่เป็นประจำ ทำให้การโจมตีครั้งนี้มีนักวิจัยที่ตกเป็นเหยื่อด้วยเช่นกัน

แฮกเกอร์ได้ทำการสร้างที่เก็บ dnSpy บน GitHub ที่เป็นเว็บบริการพื้นที่ทางอินเทอร์เน็ต สำหรับเก็บการควบคุมการปรับปรุงแก้ไขโดยใช้กิต ซึ่งถูกใช้เพื่อจัดเก็บรหัสต้นฉบับ (Source Code) ทำให้การปลอมแปลง dnSpy ครั้งนี้แฮกเกอร์ได้ติดตั้งมัลแวร์ที่มีความสามารถหลากหลาย อาทิ ปล้นคลิปบอร์ดเพื่อขโมยสกุลเงินดิจิทัล โทรจันเข้าถึงจากระยะไกล เครื่องขุด บิตคอยน์ และอื่นๆที่ไม่รู้จักอีกมากมาย ลงในเครื่องของเหยื่อที่ใช้ dnSpy ตัวปลอมราวกับกลัวว่าจะไม่มีใครใช้เจ้า dnSpy

โดยตัวปลอมนี้ เพราะแฮกเกอร์ยังสร้างเว็บไซต์ที่ออกแบบอย่างสวยงามและดูเป็นทางการ พร้อมทำการโปรโมทเว็บไซต์ให้ปรากฏบนหน้าแรกของ Google โดยโดเมนนี้ยังมีการแสดงอย่างเด่นชัดใน Bing, Yahoo, AOL, Yandex และ Ask.com

แอพพลิเคชั่น dnSpy ที่เป็นอันตรายนั้นถ้าดูเผินๆจะเหมือนโปรแกรมทั่วๆไป แต่เมื่อเราเปิดแอพพลิเคชัน dnSpy ปลอมนี้ แอพพลิเคชันจะดำเนินการใช้ชุดคำสั่งที่สร้างงานตามกำหนดเวลาและทำงานด้วยสิทธิ์ระดับสูง โดยจะดำเนินการดังต่อไปนี้

1.ปิดการใช้งาน Microsoft Defender

2.ใช้ bitsadmin.exe เพื่อดาวน์โหลด curl.exe ไปยัง %windir%\system32\curl.exe

3.ใช้ curl.exe

4.bitsadmin.exe เพื่อดาวน์โหลด payloads ที่หลากหลายไปยังโฟลเดอร์ C:\Trash และ

5.เปิดใช้งาน ปิดการใช้งานการควบคุมบัญชีผู้ใช้

การโจมตีด้วยวิธีการดังกล่าวบางครั้งก็ประสบความสำเร็จ บางครั้งก็ล้มเหลว แต่หากรวบรวมจำนวนครั้งที่โจมตีสำเร็จจะพบว่า แฮกเกอร์ได้ขโมยการทำธุรกรรมไปได้แล้วทั้งหมด 68 บิตคอยน์ รวมเป็นเงินประมาณ 4,200 ดอลลาร์ โดยที่อยู่สกุลเงินดิจิทัลที่ใช้เป็นส่วนหนึ่งของแคมเปญนี้ 

ผมได้สรุปมาให้ท่านตามนี้ครับ

Bitcoin: 175A7JNERg82zY3xwGEEMq8EyCnKn797Z4 

Ethereum: 0x4dd10a91e43bc7761e56da692471cd38c4aaa426 Tron: TPRNNuj6gpBQt4PLsNv7ZVeYHyRJGgJA61

Litecoin: LQFiuJQCfRqcR9TjqYmi1ne7aANpyKdQpX 

ถึงแม้ว่าในขณะนี้ทั้ง dnSpy[.]net และที่เก็บ GitHub ที่ใช้ในการขับเคลื่อนแคมเปญนี้จะปิดตัวลง แต่นักวิจัยและนักพัฒนาด้านความปลอดภัยจำเป็นต้องคอยจับตาดูโปรเจคที่คัดลอกขึ้นมาจากของเดิมที่อาจมีการติดตั้งมัลแวร์บนอุปกรณ์ของพวกเขาต่อไป

ในส่วนของเราผู้ใช้งานก็ต้องจับตาดูเช่นกันครับว่า โปรแกรมใดน่าสงสัย ต่อให้เป็นโปรแกรมที่คนนิยมใช้ หรือเป็นโปรแกรมที่เมื่อค้นหาในเว็บไซต์ชื่อดังอย่าง Google แล้วขึ้นมาเป็นอันดับแรกก็ยังต้องเฝ้าระวังอยู่ดี หากมีข่าวคราวอะไรอีกผมจะรีบนำมาแจ้งให้ท่านทราบทันทีครับ