มัลแวร์ Storm สามารถข้ามการยืนยันตัวตนแบบ MFA แล้วเรียกคืนใช้งาน Session จากระยะไกลได้ด้วย

ระวัง! มัลแวร์ Storm สามารถข้ามการยืนยันตัวตนแบบ MFA แล้วเรียกคืนใช้งาน Session จากระยะไกลได้อย่างง่ายดาย

การป้องกันการเข้าถึงบัญชีด้วยระบบยืนยันตัวตนจากหลากแหล่ง หรือ MFA (Multi-Factors Authentication) เพื่อป้องกันการถูกแฮกโดยเหล่าแฮกเกอร์ แต่ก็ไม่วาย มีมัลแวร์บางตัวสามารถจัดการฝ่าระบบป้องกันส่วนนี้จนสามารถเข้าขโมยใช้งานบัญชีของเหยื่อได้ ดังเช่นตัว

จากรายงานโดยเว็บไซต์ Yahoo ได้กล่าวถึงการตรวจพบมัลแวร์ตัวใหม่ Storm โดยทีมวิจัยจาก Varonis Threat Labs บริษัทผู้เชี่ยวชาญด้านการตรวจจับภัยไซเบอร์ ซึ่งถึงแม้แหล่งข่าวจะไม่ได้ระบุถึงประเภทของมัลแวร์ แต่จากความสามารถหลายอย่างนั้นทำให้สามารถคาดการณ์ได้ว่า เป็นมัลแวร์ประเภทขโมยข้อมูล หรือ Infostealer ตัวหนึ่ง จากการที่มีความสามารถในการเข้าขโมยข้อมูลหลากรูปแบบจากระบบของเหยื่อ ซึ่งหนึ่งในความสามารถสำคัญนั่นก็คือ การเข้าขโมยเซสชัน (Session) ในการเข้าใช้งานบัญชี (Account) ต่าง ๆ เช่น ไฟล์ Session Cookies และ Authentication Session ที่ช่วยให้สามารถฝ่าระบบยืนยันตัวตนแบบ MFA ได้ รวมไปถึงข้อมูลที่เกี่ยวข้องกับรหัสผ่านต่าง ๆ เช่น ข้อมูลแบบบันทึกไว้กรอกอัตโนมัติ (Autofill) และรหัสผ่านที่ถูกบันทึกเอาไว้บนตัวเว็บเบราว์เซอร์ ซึ่งมัลแวร์ตัวนี้สนับสนุนการขโมยข้อมูลจากเว็บเบราว์เซอร์มากมายหลายสายตระกูล ไม่ว่าจะเป็นตระกูล Chromium เช่น Chrome และ ตระกูล Gecko เช่น Firefox เป็นต้น ไม่เพียงเท่านั้น ตัวมัลแวร์ยังสามารถข้อมูลอื่น ๆ เช่น ไฟล์เอกสารต่าง ๆ (Documents) บนเครื่อง, การแอบบันทึกภาพหน้าจอ (Screenshot), ข้อมูลภายในแอปพลิเคชันรับส่งข้อความ (Messenger App) และข้อมูลกระเป๋าเงินคริปโตเคอร์เรนซี (Cryptocurrency Wallet) ได้อีกด้วย

นอกจากความสามารถในการขโมยข้อมูลแล้ว มัลแวร์ตัวนี้ยังมีความร้ายกาจอีกมากมาย ไม่ว่าจะเป็นการลักลอบส่งข้อมูลรหัสผ่านที่ขโมยได้กลับไปยังเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ด้วยวิธีการเข้ารหัสข้อมูล หรือ Encryption, ความสามารถในการหลบเลี่ยงระบบตรวจจับปลายทาง (Endpoint Detection and Response หรือ EDR) เป็นต้น โดยการระบาดของมัลแวร์ในตอนนี้นั้น ได้มีการระบาดกระจายไปในหลากประเทศทั่วโลก ไม่ว่าจะเป็น สหรัฐอเมริกา, บราซิล, อินโดนีเซีย, เวียดนาม และอีกหลากหลายประเทศ โดยมีผู้ตกเป็นเหยื่ออย่างน้อย 1,715 ราย ในช่วงเวลาของการตรวจสอบของทีมวิจัย

ที่น่ากลัวไปกว่าความสามารถที่กล่าวมาข้างต้น นั่นคือ มัลแวร์ตัวนี้ถูกจำหน่ายในรูปแบบเช่าใช้ หรือ MaaS (Malware-as-a-Service) ในตลาดมืดใต้ดิน ด้วยราคาที่จับต้องได้ ทำให้สามารถเข้าถึงได้ง่ายถ้ามีเงิน โดยราคานั้นจะเริ่มต้นจากราคา 300 ดอลลาร์สหรัฐ (9,683 บาท) สำหรับแพ็คเกจทดลองใช้งาน 7 วัน, 900 ดอลลาร์สหรัฐต่อเดือน (29,047 บาท) สำหรับแพ็คเกจมาตรฐาน, 1,800 ดอลลาร์สหรัฐต่อเดือน (58,099.50 บาท) สำหรับแพ็คเกจใช้งานแบบทีมที่สนับสนุนผู้ใช้งานมากถึง 100 คน และการสร้างแอปพลิเคชันตัวล่อ (Builds) มากถึง 200 ชุด ซึ่งถึงแม้อายุการใช้งาน (Subscription) จะจบไปแล้ว ตัวมัลแวร์ก็จะยังทำงานในการเก็บข้อมูลจากเหยื่อต่อไป