หน้าแรก ตรวจหวย เว็บบอร์ด ควิซ Pic Post แชร์ลิ้ง หาเพื่อน Chat หาเพื่อน Line Page อัลบั้ม คำคม Glitter เกมถอดรหัสภาพ คำนวณ การเงิน ราคาทองคำ กินอะไรดี
ข้อตกลงการใช้บริการนโยบายความเป็นส่วนตัวนโยบายเนื้อหานโยบายการสร้างรายได้About Usติดต่อเว็บไซต์แจ้งเนื้อหาไม่เหมาะสม
News บอร์ดต่างๆค้นหาตั้งกระทู้

ระวังเว็บ FileZilla ปลอม ดาวน์โหลดมาได้แทนที่จะได้ใช้ซอฟต์แวร์ แต่ได้มัลแวร์แทน

เขียนโดย Annonymus TN

ระวังเว็บ FileZilla ปลอม ดาวน์โหลดมาได้แทนที่จะได้ใช้ซอฟต์แวร์ แต่ได้มัลแวร์แทน

 

FileZilla อาจเป็นอีกเครื่องมือหนึ่งที่เป็นที่คุ้นเคยของผู้ที่ทำงานเกี่ยวกับเว็บไซต์ หรือ ระบบเครือข่าย (Network) ที่ต้องมีการอัปโหลด หรือ ดาวน์โหลดไฟล์ ผ่านโปรโตคอล FTP และนั่นก็ได้กลายมาเป็นอีกหนึ่งในเป้าหมายที่แฮกเกอร์จะเอามาใช้ล่อลวงผู้ที่ทำงานเกี่ยวข้องกับระบบเครือข่าย และเว็บไซต์ต่าง ๆ ด้วยของปลอมแฝงมัลแวร์

 

จากรายงานโดยเว็บไซต์อย่างเป็นทางการของผู้พัฒนาเครื่องมือต่อต้านมัลแวร์ Malwarebytes ได้กล่าวถึงการตรวจพบเว็บไซต์ Filezilla ปลอมที่ถูกใช้เพื่อแพร่กระจายไฟล์ติดตั้งซอฟต์แวร์ FileZilla เวอร์ชัน 3.69.5 ที่มีการฝังมัลแวร์ไว้ภายใน ซึ่งมัลแวร์ภายในนั้นจะมีจุดประสงค์เพื่อขโมยรหัสผ่านเข้าใช้งานระบบ FTP ของเหยื่อ รวมทั้งทำตัวเป็นประตูหลังของระบบ หรือ Backdoor เพื่อให้แฮกเกอร์ที่อยู่เบื้องหลังสามารถเข้าสู่ระบบของเหยื่อในภายหลังได้ ซึ่งตัวซอฟต์แวร์ปนเปื้นมัลแวร์ตัวนี้จะถูกปล่อยผ่านทางเว็บไซต์ปลอมที่มีการตั้งชื่อคล้ายกับเว็บไซต์ของ FileZilla ของจริง อย่าง filezilla-project[.]live และตัวซอฟต์แวร์ปนเปื้อนมัลแวร์นี้ก็เรียกว่าซอฟต์แวร์ปลอมไม่ได้เสียทีเดียว เพราะเป็นการนำเอาไฟล์ของซอฟต์แวร์ FileZilla เวอร์ชัน 3.69.5 รุ่นพกพา (Portable) ของจริงมาใช้งาน แต่มีการเพิ่มไฟล์ DLL ของมัลแวร์ลงไป 1 ตัว นั่นคือ version.dll

 

โดยสำหรับ FileZilla ของจริงนั้น จะมีการใช้งานไฟล์ DLL 2 ตัว นั่นคือ ไฟล์ DLL ที่เป็นไลบรารี่ (Library) เฉพาะตัวของ FileZilla อย่าง libfilezilla-50.dll และ libfzclient-private-3-69-5.dll แต่จะไม่มีไฟล์ version.dll ซึ่งเป็นไฟล์ของ Windows Version API ซึ่งตามปกติแล้วจะถูกบรรจุอยู่ภายในโฟลเดอร์ระบบ (System) ของ Windows (C:WindowsSystem32) ไม่ใช่ไฟล์ที่เกี่ยวข้องกับ FileZilla 

 

การที่ทีมวิจัยสามารถตรวจจับได้นั้นก็เนื่องมาจากการใช้งานเครื่องมือสอดส่อง Process (Process Monitor) แล้วพบว่าตัวไฟล์ทำงานหลักของ FileZilla อย่าง filezilla.exe นั้นในการที่จะทำงานได้จะต้องมีการโหลดไฟล์ DLL จำนวนหนึ่งขึ้นมาก่อน ซึ่งในการทำงานส่วนนี้ตัว Windows จะทำการตรวจสอบโฟลเดอร์ของซอฟต์แวร์เสียก่อนว่ามีไฟล์ DLL ที่จำเป็นไหม แล้วจึงค่อยกลับไปตรวจสอบโฟลเดอร์ระบบของ Windows โดยในช่วงแรกจะเป็นการโหลดไฟล์ DLL ไลบรารี่ของระบบ (System Library) อย่าง IPHLPAPI.DLL และ POWRPROF.dll ขึ้นมาก่อน ซึ่งผลก็แน่นอนว่าไม่มีทางหาพบในโฟลเดอร์ของตัวซอฟต์แวร์ ทำให้ได้ผลลัพธ์ตอบกลับในครั้งแรกคือ NAME NOT FOUND หรือหาไม่พบ และตัว Windows ก็จะไปโหลดไฟล์ดังกล่าวจากโฟลเดอร์ของระบบแทน

 

แต่ตัวไฟล์ version.dll กลับถูกตรวจพบภายในโฟลเดอร์ของตัวซอฟต์แวร์เลยทำให้เกิดการโหลดขึ้นมาใช้งาน แทนที่จะเป็นการไปโหลดตัวปกติจากโฟลเดอร์ของระบบ ทำให้ตัวไฟล์ถูกทีมวิจัยตรวจสอบแล้วพบว่าเป็นไฟล์ของมัลแวร์นั่นเอง แต่สิ่งที่ตัวซอฟต์แวร์ปนเปื้นมัลแวร์นี้ทำผิดพลาดคือ ตัวมัลแวร์นั้นถูกโปรแกรมให้ทำการโหลดไฟล์ version_original.dll ซึ่งเป็นไฟล์ที่นำเอา version.dll แบบปกติที่ควรโหลดจากโฟลเดอร์ของระบบมาตั้งชื่อเพื่อทำเทคนิค DLL Proxy เพื่อให้ตัวซอฟต์แวร์โหลดฟังก์ชันที่ควรเป็นขึ้นมาทำงานตามปกติขณะที่ตัวโค้ดของมัลแวร์ก็ทำงานตามคู่ขนานไป แต่ตัวที่ทีมวิจัยได้รับมานั้นกลับไม่มีการใส่ไฟล์ดังกล่าวเข้ามา ทำให้ตัวซอฟต์แวร์ทำงานผิดปกติจนสามารถจับผิดได้

 

ในด้านการทำงานของตัวไฟล์ DLL ของมัลแวร์นั้นจะเริ่มต้นจากการตรวจว่าปัจจุบันตัวมัลแวร์ได้ทำงานอยู่ภายใต้สภาวะจำลองแบบ Virtual Machine หรือ Sandbox อยู่หรือไม่ ? ก่อนที่จะปล่อยไฟล์มัลแวร์ตัวจริง (Payload) ลงมา ด้วยการใช้เทคนิคตรวจสอบพฤติกรรมการทำงาน (Behavioural Check) หลากรูปแบบ เช่น ตรวจสอบเวอร์ชันของ BIOS, เลขลงทะเบียนของ Virtual Box, การจัดการพื้นที่ในหน่วยความจำ (Memory Allocation) เป็นต้น

 

หลังจากที่ตรวจสอบสภาพแวดล้อมการทำงานแล้วพบว่าทุกอย่างปลอดภัยดี ตัวมัลแวร์ก็จะทำการติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ด้วยการส่งคำขอ HTTPS Request ไปยัง Public Resolver ของ Cloudflare ด้วยการส่งไปที่ URL

 

https://1[.]1.1.1/dns-query?name=welcome.supp0v3[.]com&type=A

 

ซึ่งเป็นเทคนิคที่เรียกว่า DNS-over-HTTPS หรือ DOH ที่ช่วยเลี่ยงการถูกตรวจจับโดยเครื่องมือสอดส่อง DNS (DNS Monitor) ของทางองค์กร โดยหลังจากที่ตัว Resolver แปลงค่าออกมาเป็นโดเมนของเซิร์ฟเวอร์ C2 ได้แล้ว มัลแวร์นกต่อ (Loader) ก็จะทำการเรียกกลับ (Call Back) ไปยังเซิร์ฟเวอร์ C2 ซึ่งจากการที่ทางทีมวิจัยใช้วิธีการวิเคราะห์หน่วยความจำ ก็ได้นำไปสู่การตรวจพบการตั้งค่า (Configuration) ที่ถูกฝังไว้ในส่วนรันไทม์ (Runtime) โดยการตั้งค่านั้นมีลักษณะดั่งนี้

 

{

 

"tag":"tbs",

 

"referrer":"dll",

 

"callback":"https://welcome.supp0v3.com/d/callback?utm_tag=tbs2&utm_source=dll"

 

}

 

นอกจากการใช้งานวิธีการแบบ DOH Call Back แล้ว ตัวมัลแวร์ยังมีการติดต่อกับหมายเลขไอพี 95.216.51.236 ผ่านทางพอร์ต TCP หมายเลข 31415 ซึ่งเป็นพอร์ตที่ไม่ใช่พอร์ตมาตรฐาน (Non-Standard Port) บนบริการโฮสต์ของ Hetzner เพื่อใช้เป็นช่องทางที่สองในการติดต่อกับเซิร์ฟเวอร์ C2 นอกจากนั้นการใช้งานช่องทางนี้ยังช่วยให้การจราจรรับส่งข้อมูล (Traffic) ไปกับข้อมูลทั่วไปเพื่อฝ่าระบบป้องกันแบบไฟร์วอลล์ (Firewall) ได้อีกด้วย

 

เมื่อวิเคราะห์พฤติกรรมการทำงานของมัลแวร์แล้วก็พบว่า ตัวมัลแวร์นั้นนอกจากจะมีความสามารถในการขโมยรหัสผ่านที่เหยื่อป้อนลงบนซอฟต์แวร์เพื่อทำงานอัปโหลดดาวน์โหลดไฟล์ทาง FTP แล้ว ยังตรวจพบความสามารถในการยิงเพื่อแทรกโค้ดของตัวมัลแวร์เองลงใน Process (Process Injection), มีการสร้างความคงทนบนระบบของเหยื่อ (Persistence) ด้วยการดัดแปลง Registry เพื่อให้มัลแวร์สามารถรันขึ้นมาใหม่ได้ตลอดเวลา, รวมทั้งยังมีการตรวจพบว่าอาจจะมีการส่งข้อมูลด้วยวิธีการเข้ารหัส (Encryption) ได้อีกด้วย เรียกได้ว่าเป็นมัลแวร์ที่มีความสามารถหลากหลายมากตัวหนึ่ง

เนื้อหาโดย: Annonymus TN
⚠ แจ้งเนื้อหาไม่เหมาะสม 
Annonymus TN's profile
มีผู้เข้าชมแล้ว 43 ครั้ง
เขียนโดย Annonymus TN
นักข่าวสายอาชญากรรมไซเบอร์และเทคโนโลยี เชี่ยวชาญการรายงานภัยออนไลน์ เช่น มัลแวร์ การหลอกลวง และการใช้ AI ในทางผิด โดยนำเสนอข้อมูลที่ซับซ้อนให้เข้าใจง่าย กระชับ และตรงประเด็น เพื่อให้ผู้อ่านรู้ทันภัยดิจิทัลก่อนตกเป็นเ
เป็นกำลังใจให้เจ้าของกระทู้โดยการ VOTE และ SHARE
Hot Topic ที่น่าสนใจอื่นๆ
เปิด 3 ประเทศยอดฮิตที่เด็ก สปป.ลาว นิยมไปเรียนต่อต่างประเทศรวมภาพเรียกรอยยิ้มประจำวันนี้ 07/07/69 วันที่อากาศดีๆ เมฆครึ้มๆนิดหน่อยจ้าเจาะลึกอิทธิพลราหูค้นทรัพย์และเลขศาสตร์พลิกชีวิตจากเงามืด งวดวันที่ 16 กรกฎาคม 2569จังหวัดอันดับหนึ่งของไทย ที่โดดเด่นเรื่องนางงามมากที่สุดนกพิราบส่งสารไม่ได้รู้จักผู้รับ แล้วมันส่งจดหมายถึงที่หมายได้อย่างไร?เชือกสีแดงบนไหล่ตำรวจ คืออะไร และมีไว้ใช้ทำหน้าที่อะไร?3 จังหวัดที่ถูกพูดถึงว่ามีคนถูกรางวัลที่ 1 บ่อยที่สุดส่องเทรนด์เลข "ยอดมหาเฮง" 16 ก.ค. 69ยอดผู้เสียชีวิตเหตุแผ่นดินไหวในเวเนซุเอลา เพิ่มสูงขึ้นเป็นกว่า 3,300 รายแล้ว!!ทำไมช็อกโกแลตถึงเป็นพิษต่อสุนัข?เขตของกรุงเทพมหานคร ที่มีสภาพเป็นพื้นที่ชนบทมากที่สุดข้าราชการไทยมีเยอะเกินไปเมื่อเทียบกับชาติอื่นจริงหรือ?
Hot Topic ที่มีผู้ตอบล่าสุด
เจาะลึกอิทธิพลราหูค้นทรัพย์และเลขศาสตร์พลิกชีวิตจากเงามืด งวดวันที่ 16 กรกฎาคม 2569ตำรวจเกาะลันตาจับหนุ่มสตูล พร้อมยาดำเนินคดีตามกฎหมายทำไมช็อกโกแลตถึงเป็นพิษต่อสุนัข?ยอดผู้เสียชีวิตเหตุแผ่นดินไหวในเวเนซุเอลา เพิ่มสูงขึ้นเป็นกว่า 3,300 รายแล้ว!!ชวนลองเข้ามาดูผู้เชี่ยวชาญเรื่องงานบ้านที่ช่ำชองในการสรรหาวิธีประหยัดเงินในกระเป๋า 😉สารหนูในแม่น้ำมาจากไหน? ทำความเข้าใจต้นตอของสารพิษที่หลายคนกังวล
กระทู้อื่นๆในบอร์ด ข่าววันนี้
6 ผลไม้และผักที่ถูกลืม...จะลดจริงใช่ไหม? รมว.พลังงานเรียกประชุมด่วนเย็นนี้ ลุยลดราคาน้ำมันทันที หลังต้นทุนน้ำมันดิบโลกลดลง5 เครื่องดื่มแปลกๆ ที่ทำจากส่วนผสมสุดพิสดารสาวดวงซวย ว่ายน้ำอยู่ดีๆโดนจระเข้กัดกิน ต่อหน้าแฟนหนุ่ม
ตั้งกระทู้ใหม่