แจ้งเตือนภัย! แฮกเกอร์ใช้โปรแกรมรีโมทชื่อดัง ScreenConnect แฝงมัลแวร์ AsyncRAT ขโมยรหัสผ่านและเงินคริปโต
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ออกมาเปิดเผยถึงแคมเปญการโจมตีรูปแบบใหม่ ที่อาศัย ConnectWise ScreenConnect ซึ่งเป็นซอฟต์แวร์สำหรับควบคุมคอมพิวเตอร์ระยะไกล (Remote Desktop) ที่บริษัทและผู้ใช้งานทั่วไปนิยมใช้ มาเป็นช่องทางในการปล่อยมัลแวร์อันตราย
คนร้ายใช้ช่องทางนี้เพื่อติดตั้งมัลแวร์ประเภท "Fileless" (ทำงานในหน่วยความจำโดยไม่สร้างไฟล์บนเครื่อง) เพื่อแอบฝังโทรจันควบคุมระยะไกล (RAT) ที่มีชื่อว่า AsyncRAT โดยมีเป้าหมายหลักคือการขโมยข้อมูลสำคัญ เช่น รหัสผ่าน และข้อมูลกระเป๋าเงินดิจิทัล (Cryptocurrency) จากเครื่องของเหยื่อ
ขั้นตอนการโจมตีเป็นอย่างไร?
รายงานจากบริษัท LevelBlue ระบุว่า คนร้ายเริ่มต้นด้วยการใช้ ScreenConnect เพื่อเข้าควบคุมเครื่องคอมพิวเตอร์ของเหยื่อจากระยะไกล จากนั้นจะสั่งรันสคริปต์ที่ซับซ้อน (VBScript และ PowerShell) เพื่อดาวน์โหลดส่วนประกอบของมัลแวร์ที่ถูกเข้ารหัสอำพรางไว้จากเซิร์ฟเวอร์ภายนอก
มัลแวร์ที่ถูกดาวน์โหลดมาจะทำการแตกไฟล์ตัวเองในหน่วยความจำ และติดตั้ง AsyncRAT ในที่สุด ที่ร้ายกาจไปกว่านั้นคือ มันจะสร้างกลไกการฝังตัวถาวร (Persistence) โดยการสร้าง Task หรือคำสั่งให้ระบบทำงานอัตโนมัติที่ปลอมชื่อเป็น "Skype Updater" เพื่อหลบเลี่ยงการตรวจจับ และทำให้มัลแวร์กลับมาทำงานใหม่ทุกครั้งที่ผู้ใช้เปิดเครื่องหรือล็อกอินเข้าสู่ระบบ
ในบางกรณีที่พบ แฮกเกอร์จะส่งอีเมลหลอกลวง (Phishing) โดยแนบไฟล์ติดตั้ง ScreenConnect ที่ถูกดัดแปลงมาแล้ว และปลอมแปลงเป็นเอกสารทางการเงินหรือเอกสารธุรกิจอื่นๆ เพื่อหลอกให้เหยื่อติดตั้งด้วยตนเอง
AsyncRAT อันตรายแค่ไหน?
เมื่อ AsyncRAT ถูกติดตั้งบนเครื่องของเหยื่อได้สำเร็จ มันจะมีความสามารถดังนี้:
ดักจับการกดคีย์บอร์ด (Keylogging): ทุกสิ่งที่คุณพิมพ์จะถูกบันทึกและส่งกลับไปให้แฮกเกอร์
ขโมยรหัสผ่านที่บันทึกไว้ในเบราว์เซอร์: รหัสผ่านสำหรับเข้าสู่ระบบเว็บไซต์ต่างๆ เช่น Facebook, Gmail, หรือบริการธนาคารออนไลน์
เก็บข้อมูลจำเพาะของเครื่อง: รวบรวมข้อมูลฮาร์ดแวร์และซอฟต์แวร์ในเครื่องเพื่อนำไปวิเคราะห์ต่อ
ค้นหาและขโมยข้อมูลกระเป๋าเงินดิจิทัล: สแกนหาแอปพลิเคชันและส่วนขยาย (Extension) ของกระเป๋าเงินคริปโตที่ติดตั้งบนเบราว์เซอร์ยอดนิยม เช่น Google Chrome, Brave, Microsoft Edge, Opera และ Firefox
ข้อมูลทั้งหมดที่ถูกขโมยจะถูกส่งกลับไปยังเซิร์ฟเวอร์ควบคุมและสั่งการ (C2) ของแฮกเกอร์ในที่สุด
ความท้าทายของมัลแวร์แบบ "Fileless"
LevelBlue ย้ำว่า "มัลแวร์ประเภท Fileless ยังคงเป็นความท้าทายที่สำคัญอย่างยิ่งต่อระบบป้องกันความปลอดภัยในปัจจุบัน เนื่องจากมันมีลักษณะการทำงานที่ซ่อนเร้นและอาศัยเครื่องมือที่ถูกกฎหมายของระบบในการทำงาน"
แตกต่างจากมัลแวร์ทั่วไปที่ต้องเขียนไฟล์ลงบนดิสก์ มัลแวร์ประเภทนี้จะทำงานอยู่ในหน่วยความจำ (RAM) ของระบบเป็นหลัก ทำให้โปรแกรมแอนตี้ไวรัสแบบดั้งเดิมตรวจจับ วิเคราะห์ และกำจัดได้ยากกว่ามาก
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก