ตรวจพบแคมเปญมัลแวร์ใหม่ มาแบบแพกคู่ Gh0st RAT และ CloverPlus

ตรวจพบแคมเปญมัลแวร์ใหม่ มาแบบแพกคู่ Gh0st RAT และ CloverPlus

สมัยนี้ผู้อ่านอาจจะได้เห็นโปรเพื่อความคุ้มค่าอย่าง 1 แถม 1 หรือแม้แต่นโยบายของรัฐที่อะไรก็พลัส แต่สิ่งหนึ่งที่หลายคนคงไม่อยากเจอแน่นอนคือ มัลแวร์แบบพลัสอีกตัวหนึ่งพ่วงมาด้วย อย่างเช่นในกรณีนี้

จากรายงานโดยเว็บไซต์ SCWorld ได้กล่าวถึงการตรวจพบแคมเปญแพร่กระจายมัลแวร์ประเภทยิงโฆษณา หรือ Adware ที่มีชื่อว่า CloverPlus ซึ่งมีความสามารถในการยิงโฆษณาในรูปแบบหน้าต่างซ้อน (Pop Up) ลงบนเครื่องของเหยื่อเพื่อทำรายได้จากคลิ๊ก โดยทีมวิจัย Splunk Threat Research Team จากบริษัทผู้พัฒนาเครื่องมือรักษาความปลอดภัยไซเบอร์ในระดับองค์กร Splunk ซึ่งทางทีมวิจัยพบว่าแคมเปญนี้นั้นไม่ได้เพียงแค่ปล่อยมัลแวร์ตัวดังกล่าวเท่านั้น แต่ยังได้มีการแถมมัลแวร์ประเภทเข้าควบคุมเครื่องจากระยะไกล หรือ RAT (Remote Access Trojan) ลงบนเครื่อง เพื่อเข้าควบคุมเครื่องของเหยื่อได้อย่างสมบูรณ์อีกด้วย

ซึ่งตัวแคมเปญจะเริ่มจากการปล่อยมัลแวร์นกต่อ (Loader) ที่มีการสร้างความสับสนให้กับระบบตรวจจับ (Obfuscation) ลงเครื่องเป็นลำดับแรก โดยมัลแวร์นกต่อตัวนี้จะทำการติดตั้งมัลแวร์ CloverPlus ลงบนเครื่องเพื่อสร้างรายได้ให้กับแฮกเกอร์ที่อยู่เบื้องหลังในทันที ตามมาด้วยการฝังไฟล์มัลแวร์ (Payload) ของมัลแวร์ Gh0st RAT ในรูปแบบไฟล์ DLL ลงบนเครื่อง โดยตัวมัลแวร์ตัวนี้จะมีการป้องกันไม่ให้มีการรัน (Execution) จากสภาพแวดล้อม (Environment) แบบ %temp% อย่างเด็ดขาด เพื่อเป็นการรับประกันว่า ตัวมัลแวร์จะเข้าทำการควบคุม Token, ผู้ใช้งาน (User), ระบบค้นหาเครือข่าย (Network Discovery), ทำโปรไฟล์ระบบ (System Profiling), และสร้างความคงทนของมัลแวร์บนระบบ (Persistence) โดยหลีกเลี่ยงการทำงานบนสภาพแวดล้อมจำลอง (Virtual Machine) ไปในเวลาเดียวกัน มัลแวร์ตัวนี้มีความสามารถที่ร้ายกาจเนื่องจากมาพร้อมกับฟีเจอร์ตรวจจับการพิมพ์ (Keyloging) และ การเข้าความคุมเดสก์ท็อปจากระยะไกล (Remote Desktop) ที่ช่วยให้แฮกเกอร์สามารถลักลอบขโมยข้อมูลอ่อนไหว เช่น รหัสผ่านต่าง ๆ ได้อย่างง่ายดาย รวมทั้งเข้าควบคุมเครื่องเพื่อทำการเคลื่อนไหวในวงกว้าง (Lateral Movement) เพื่อแพร่กระจายมัลแวร์อื่น ๆ หรือ เข้าครอบงำระบบที่เชื่อมต่ออยู่กับเครื่องของเหยื่อ