มัลแวร์ Cocktail โจมตี Microsoft Office ที่ละเมิดลิขสิทธิ์

มัลแวร์ Cocktail โจมตี Microsoft Office ที่ละเมิดลิขสิทธิ์

มัลแวร์ Cocktail โจมตี Microsoft Office ที่ละเมิดลิขสิทธิ์ อาชญากรไซเบอร์กำลังโจมตีด้วมัลแวร์ Cocktail ผ่าน Microsoft Office เวอร์ชันแคร็กที่ได้ผู้ใช้งานนิยมโหลดทอร์เรนต์

มัลแวร์ที่ส่งถึงผู้ใช้ประกอบด้วยโทรจันการเข้าถึงระยะไกล (RAT) ตัวขุดสกุลเงินดิจิทัล ตัวดาวน์โหลดมัลแวร์ เครื่องมือพร็อกซี และโปรแกรมต่อต้าน AV 

AhnLab Security Intelligence Center (ASEC) ได้ระบุว่าการโจมตีที่เกิดเกี่ยวข้องกับการดาวน์โหลดซอฟต์แวร์ละเมิดลิขสิทธิ์ นักวิจัยชาวเกาหลีค้นพบว่าผู้โจมตีใช้เหยื่อล่อหลายชนิด รวมถึง Microsoft Office, Windows และโปรแกรมประมวลผลคำอังกูล ซึ่งเป็นที่นิยมในเกาหลี

Microsoft Office สู่มัลแวร์

โปรแกรมMicrosoft Office ที่แคร็กมีอินเทอร์เฟซที่ออกแบบมาอย่างดี ให้ผู้ใช้เลือกเวอร์ชันที่ต้องการติดตั้ง ภาษา และเลือกใช้เวอร์ชัน 32 หรือ 64 บิต

image-2.jpeg

อย่างไรก็ตามในฉากหลังโปรแกรมติดตั้งจะเปิดมัลแวร์ .NET ที่สร้างความสับสน ซึ่งติดต่อกับช่องทาง Telegram หรือ Mastodon เพื่อรับ URL ดาวน์โหลดที่ถูกต้องพร้อมส่วนประกอบอื่นๆ โดยชี้ไปที่ Google Drive หรือ GitHub ซึ่งเป็นบริการที่ถูกต้องตามกฎหมายซึ่งทำไม่มีการแจ้งเตือนจากระบบ Antivirus

เพย์โหลด base64 ที่โฮสต์บนแพลตฟอร์มเหล่านั้นประกอบด้วยคำสั่ง PowerShell ที่แนะนำมัลแวร์หลากหลายสายพันธุ์ ซึ่งแตกไฟล์โดยใช้ 7Zip

image-3.jpeg

ส่วนประกอบมัลแวร์ ‘Updater’ จะลง registry ใน Windows Task Scheduler จากข้อมูลของ ASEC มัลแวร์ประเภทต่อไปนี้จะได้รับการติดตั้งบนระบบของเหยื่อ

  • Orcus RAT: ช่วยให้สามารถควบคุมระยะไกลได้อย่างครอบคลุม รวมถึงการล็อกคีย์ การเข้าถึงเว็บแคม การจับภาพหน้าจอ และการจัดการระบบเพื่อขโมยข้อมูล 
  • XMRig: ขุด Cryptocurrency ที่ใช้ทรัพยากรระบบในการขุด Monero มันหยุดการขุดระหว่างการใช้ทรัพยากรสูง เช่น เมื่อเหยื่อกำลังเล่นเกม เพื่อหลีกเลี่ยงการตรวจจับ 
  • 3Proxy: แปลงระบบที่ติดไวรัสให้เป็นพร็อกซีเซิร์ฟเวอร์โดยการเปิดพอร์ต 3306 และแทรกเข้าไปในกระบวนการที่ถูกต้องตามกฎหมาย ทำให้ผู้โจมตีสามารถกำหนดเส้นทางการรับส่งข้อมูลที่เป็นอันตรายได้
  • PureCrypter: ดาวน์โหลดและดำเนินการเพย์โหลดที่เป็นอันตรายเพิ่มเติมจากแหล่งภายนอก
  • AntiAV: รบกวนและปิดการใช้งานซอฟต์แวร์ความปลอดภัยโดยการแก้ไขไฟล์การกำหนดค่า ป้องกันไม่ให้ซอฟต์แวร์ทำงานได้อย่างถูกต้อง
image-4.jpeg

ผู้ใช้ควรระมัดระวังเมื่อติดตั้งไฟล์ที่ดาวน์โหลดจากแหล่งที่น่าสงสัย และโดยทั่วไปควรหลีกเลี่ยงซอฟต์แวร์ละเมิดลิขสิทธิ์/แคร็ก มีการใช้แคมเปญที่คล้ายกันเพื่อผลักดัน STOP ransomware ซึ่งเป็นการดำเนินการของ ransomware ที่มีการใช้งานมากที่สุดโดยกำหนดเป้าหมายไปที่ผู้ใช้งาน

Multi-Factor Authentication (MFA) โดย WatchGuard: เพิ่มความปลอดภัยในโลกที่เชื่อมต่อถึงกัน

การปกป้องข้อมูลที่ละเอียดอ่อนถือเป็นสิ่งสำคัญยิ่ง เนื่องจากองค์กรต่างๆ พึ่งพาแพลตฟอร์มดิจิทัลมากขึ้น ความจำเป็นในการใช้มาตรการตรวจสอบความถูกต้องที่เข้มงวดจึงมีความจำเป็น Multi-Factor Authentication (MFA) ของ WatchGuard กลายเป็นผู้พิทักษ์ที่แข็งแกร่ง โดยมอบการรักษาความปลอดภัยเพิ่มเติมอีกชั้นที่นอกเหนือไปจากการป้องกันด้วยรหัสผ่านแบบเดิมๆMFA คือวิธีการตรวจสอบสิทธิ์ที่กำหนดให้ผู้ใช้ยืนยันตัวตนหลายรูปแบบ WatchGuard โดยนำเสนอโซลูชั่นที่ครอบคลุมสะดวกสบายของผู้ใช้เข้ากับความปลอดภัยที่เข้มงวด

การตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) ของ AuthPoint มอบความปลอดภัยที่คุณต้องการในการปกป้องทรัพย์สิน บัญชี และข้อมูลของคุณ ให้บริษัทของคุณทำงานอย่างมั่นใจและไร้กังวลด้วยการป้องกันอันทรงพลังของ AuthPoint หากท่านสนใจสามารถขอทดลองใช้ได้ฟรี 30 วัน

Credit https://www.bleepingcomputer.com/

Credit https://www.watchguard.com

Leave a Reply

Your email address will not be published. Required fields are marked *