วงการไอทีมีเสียว! ค้นพบมัลแวร์ตัวใหม่ "LabubaRAT" ปลอมตัวเป็นซอฟต์แวร์ NVIDIA เนียนกริบจนระบบตรวจจับยาก
สวัสดีครับทุกท่าน วันนี้ผมมีข่าวแจ้งเตือนภัยไซเบอร์ที่คนไอทีและผู้ใช้งาน Windows ต้องจับตามองให้ดีครับ ล่าสุดทีมนักวิจัยจาก Blackpoint Cyber ได้ตรวจพบมัลแวร์โทรจันเข้าถึงระยะไกล (RAT) ตัวใหม่ที่ยังไม่เคยมีบันทึกมาก่อน โดยมันถูกตั้งโค้ดเนมว่า "LabubaRAT" เขียนขึ้นด้วยภาษา Rust และที่ร้ายที่สุดคือ มันเลือกที่จะปลอมตัวเป็นซอฟต์แวร์ของ NVIDIA เพื่อตบตาและแฝงตัวเข้าไปในระบบคอมพิวเตอร์เป้าหมายครับ
มันทำอะไรกับเครื่องของเราได้บ้าง?
นักวิจัยระบุว่า เมื่อ LabubaRAT สามารถเจาะเข้าสู่ระบบได้แล้ว มันจะสร้างฐานที่มั่นเพื่อเปิดทางให้แฮกเกอร์เข้ามาควบคุมเครื่องได้ทันที โดยมีความสามารถรอบด้าน ดังนี้ครับ:- ตรวจสอบข้อมูลเครื่อง (Profile) และเช็กว่ามีโปรแกรมความปลอดภัย (Antivirus/EDR) อะไรติดตั้งอยู่บ้าง
- รับคำสั่งจากแฮกเกอร์เพื่อรันคำสั่งผ่าน Command Prompt, PowerShell หรือ JavaScript
- แอบถ่ายภาพหน้าจอ (Screenshot)
- อัปโหลดและดาวน์โหลดไฟล์เข้า-ออกระบบ
- ทำหน้าที่เป็น Proxy (SOCKS5) เพื่อส่งผ่านทราฟฟิกเครือข่าย
กลยุทธ์การพรางตัวและการทำงานสุดแนบเนียน
จุดเริ่มต้นของภัยคุกคามนี้จะมาในรูปแบบไฟล์ตระกูล .exe ที่ชื่อว่า nvidia-sysruntime.exe ซึ่งเลียนแบบซอฟต์แวร์ Container Runtime ของ NVIDIA
สิ่งที่ทำให้ LabubaRAT แตกต่างจากมัลแวร์ทั่วไปคือ มันไม่ได้ล็อกที่อยู่เซิร์ฟเวอร์ควบคุม (C2) ไว้ในตัวโค้ดตั้งแต่แรก แต่มันจะรอรับค่าคอนฟิก (เช่น ชื่อเซิร์ฟเวอร์ปลายทางอย่าง pipicka[.]xyz) ผ่านทาง Command-line หรือส่งมาในรูปแบบรหัส Base64 ตอนที่แฮกเกอร์สั่งรันไฟล์
"การออกแบบนี้ทำให้แฮกเกอร์สามารถนำไฟล์มัลแวร์ตัวเดิมที่บิลด์เสร็จแล้ว ไปใช้โจมตีองค์กรอื่น ๆ หรือแคมเปญอื่น ๆ ได้อย่างยืดหยุ่น โดยไม่ต้องเสียเวลาเขียนโค้ดใหม่ แค่เปลี่ยนค่าคอนฟิกตอนสั่งรันเท่านั้นเอง"
เมื่อรันเสร็จ ข้อมูลจะถูกเก็บไว้ในฐานข้อมูล SQLite ท้องถิ่นในเครื่อง จากนั้นมันจะเริ่มทำการ "สแกนหาเป้าหมาย" ทันที โดยมุ่งเป้าไปที่เว็บเบราว์เซอร์ (Chrome, Firefox, Edge, Brave) และตรวจสอบระบบรักษาความปลอดภัยชั้นนำ (เช่น Microsoft Defender, CrowdStrike, SentinelOne, Sophos, Kaspersky เป็นต้น) เพื่อประเมินสถานการณ์ก่อนจะเริ่มแผนการขั้นต่อไป
ที่มาของชื่อชวนน่ารัก แต่ตัวจริงโหดร้าย
หลายคนอ่านชื่อแล้วอาจจะสะดุดตา นักวิจัยเฉลยว่าคำว่า "Labuba" มีที่มาจากหน้าต่างควบคุมของแฮกเกอร์ที่ใช้ชื่อว่า "LabubaPanel" แถมยังมีรูป Favicon เป็นธีมลาบูบู้ (Labubu) อาร์ตทอยชื่อดังอีกด้วย! (น่ารักแต่พิษสงร้ายกาจจริง ๆ ครับ)
จากการวิเคราะห์เพิ่มเติม คาดว่ามัลแวร์ตัวนี้อาจจะถูกนำมาปล่อยเช่าหรือขายในรูปแบบ Malware-as-a-Service (MaaS) ให้กับกลุ่มอาชญากรไซเบอร์รายอื่น ๆ นำไปใช้ต่อ เนื่องจากโครงสร้างของมันถูกออกแบบมาเป็น Framework ที่พร้อมปรับแต่งและใช้งานในวงกว้างได้ทันที
ยุคนี้ดาวน์โหลดซอฟต์แวร์หรืออัปเดตไดรเวอร์อะไร ต้องเช็กแหล่งที่มาให้ชัวร์นะครับ ขนาดชื่อไฟล์เนียนเป็น NVIDIA ขนาดนี้ยังไว้ใจไม่ได้เลยครับ! ชาวไอทีท่านไหนมีข้อคิดเห็นอย่างไร คอมเมนต์คุยกันได้เลยครับ
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก