พบการโจมตีทางไซเบอร์ด้วยมัลแวร์ Zloader ใช้ประโยชน์จากช่องโหว่ของระบบ Digital Signature ของ Microsoft เพื่อเข้าถึงข้อมูลของเหยื่อ
แคมเปญการโจมตีทางไซเบอร์ด้วยมัลแวร์ ZLoader ที่กำลังเป็นที่ฮือฮาอยู่ในขณะนี้ถูกตรวจพบว่ามีการใช้ประโยชน์จากระบบยืนยันตัวตนผ่านลายเซ็นดิจิทัล (Digital Signature) ของ Microsoft ในการเข้าถึงและโจรกรรมข้อมูลประจำตัว (Credential) และข้อมูลส่วนบุคคลของเหยื่อ
.
บริษัท Check Point Research บริษัทด้านความปลอดภัยทางไซเบอร์สัญชาติอิสราเอลซึ่งเป็นผู้ตรวจพบอาชญากรรมครั้งนี้ได้เฝ้าติดตามเหตุการณ์นี้มาตั้งแต่เดือนพฤศจิกายน 2021 และได้ออกมาเปิดเผยว่า ผู้กระทำผิดได้ใช้ซอฟต์แวร์สำหรับการควบคุมและจัดการจากระยะไกล (Remote Management Software, RMM) ในขั้นแรกของการโจมตีเพื่อเข้าถึงอุปกรณ์ของเหยื่อ จากนั้นมัลแวร์จึงใช้ประโยชน์จากช่องโหว่ของวิธีการยืนยันตัวตนด้วยลายเซ็นดิจิทัลของ Microsoft เพื่อทำการแฝง Payload อันตรายเข้าไปในโปรแกรม DLL ของระบบที่ได้ทำการเซ็น (Signed) แล้ว เพื่อซ่อนพฤติกรรมดังกล่าวจากระบบป้องกันความปลอดภัย
.
โดยขั้นตอนในการโจมตีจะเริ่มจากการหลอกให้เหยื่อดาวน์โหลดและติดตั้งซอฟต์แวร์ควบคุมและจัดการจากระยะไกลที่มีชื่อว่า Atera ซึ่งเป็นซอฟต์แวร์ที่มีการใช้งานอยู่จริงและมีความน่าเชื่อถือ กลวิธีที่หลอกให้เหยื่อติดตั้งซอฟต์แวร์ในขั้นตอนนี้นั้นยังไม่สามารถตรวจสอบได้แน่ชัดนัก
.
ในขั้นถัดมา แฮกเกอร์จะใช้ซอฟต์แวร์นี้เพื่อสั่งอัปโหลดและดาวน์โหลดไฟล์ลงบนเครื่องโดยพลการ พร้อมทั้งรันคำสั่ง Script อันตราย ซึ่งในบรรดาไฟล์ที่ติดตั้งลงบนเครื่องนั้น ไฟล์หนึ่งจะทำหน้าที่ปิดการใช้งาน Microsoft Defender Antivirus ในขณะที่อีกไฟล์จะทำการส่งคำสั่งเพื่อไปรัน Payload อันตราย นอกจากนี้ ยังมีไฟล์ DLL ที่มีชื่อว่า “appContast.dll” ที่เป็นไฟล์ที่ใช้รัน Binary code ของมัลแวร์ Zloader ซึ่งไฟล์นี้นอกจากจะสามารถผ่านระบบยืนยันด้วยลายเซ็นดิจิทัลของ Microsoft มาได้แล้ว ในตัวไฟล์ยังมีคำสั่ง Script ที่แนบมาสำหรับการดาวน์โหลดมัลแวร์ลงในเครื่องอีกด้วย
.
การโจมตีดังกล่าวเกิดขึ้นได้โดยใช้ประโยชน์จากช่องโหว่ของฟังก์ชัน WinVerifyTrust ของ Microsoft (CVE-2013-3900) ที่เปิดโอกาสให้แฮกเกอร์สามารถสั่งรันโค้ดในการอัปโหลดและดาวน์โหลดไฟล์จากระยะไกลได้โดยพลการ ซึ่งหลังจากที่เหยื่อหลงกลดาวน์โหลดซอฟต์แวร์สำหรับการควบคุมระยะไกลแล้ว เพียงแค่ใช้ไฟล์ปฏิบัติการที่ออกแบบมาอย่างแนบเนียนเพื่อไม่ให้ระบบตรวจจับความเปลี่ยนแปลงได้ ก็จะสามารถผ่านระบบยืนยันตัวตนโดยใช้ลายเซ็นดิจิทัลได้โดยไม่จำเป็นต้องมีการยืนยันตัวตนอีกครั้ง
.
มัลแวร์ Zloader เป็น Banking Trojan ซึ่งก็คือ Trojan ที่มีเป้าหมายเน้นไปที่การขโมยข้อมูลทางการเงิน มันถูกตรวจพบครั้งแรกในปี 2015 และถูกใช้เป็นเครื่องมือของแฮกเกอร์จำนวนมากในการขโมยข้อมูลสำคัญของเหยื่อ มีรายงานว่าจนถึงปัจจุบัน แคมเปญการโจมตีทางไซเบอร์ด้วยมัลแวร์ Zloader มีผู้เสียหายรวมกันกว่า 2,170 ราย ในกว่า 111 ประเทศทั่วโลก การพัฒนามัลแวร์ Zloader มีการใช้เทคนิค Obfuscation ที่ทำให้การอ่านโค้ดเพื่อวิเคราะห์และตรวจจับการทำงานของมันทำได้ยากขึ้น รวมถึงมีการใช้เทคนิคในการหลบเลี่ยงการตรวจจับมากมาย อาทิ การใช้ Infection Chain แบบใหม่เพื่อปิดการใช้งาน Microsoft Defender Antivirus และมักปรับเปลี่ยนวิธีการหลีกเลี่ยงใหม่ ๆ อยู่เสมอ ดังนั้น การป้องกันภัยรูปแบบนี้ก็ยังคงย้อนกลับไปหาตัวผู้ใช้ที่ต้องมีความระมัดระวังในการดาวน์โหลดและติดตั้งซอฟต์แวร์ต่าง ๆ เพื่อไม่ให้ตกเป็นเหยื่อของมัลแวร์ Zloader และรวมถึงแฮกเกอร์จำนวนมากที่ใช้การหลอกลวงวิธีเดียวกันนี้ได้
ปกป้ององค์กรของท่านจากการโจมตีทางไซเบอร์
ติดต่อเรา Cloudsec Asia
ผู้ให้บริการด้านความปลอดภัยทางไซเบอร์ชั้นนำของเอเชียแปซิฟิก
Tel.+66 2117 9668
www.cloudsecasia.com
#cybersecurity
#cybersecurityisamust
#cloudsecasia
Reference:
Lakshmanan, R, 2022. New Zloader Banking Malware Campaign Exploiting Microsoft Signature Verification. [online] The Hacker News. Available at <https://thehackernews.com/2022/01/new-zloader-banking-มัลแวร์-campaign.html> [Accessed 6 January 2022]
