ทีม Bybit ใช้ AI ตรวจแคมเปญปล่อยมัลแวร์ Amos

ทีม Bybit ใช้ AI ตรวจแคมเปญปล่อยมัลแวร์ Amos

จนทะลุปรุโปร่งด้วยวิธีการวิศวกรรมย้อนกลับ

นับตั้งแต่ Claude Code กลายมาเป็นประเด็นดังจากการที่โค้ดต้นฉบับ (Source Code) ได้รั่วไหลออกมา ตัวเครื่องมือปัญญาประดิษฐ์ หรือ AI (Artificial Intelligence) ตัวนี้ก็ได้ถูกแอบอ้างเพื่อการปล่อยมัลแวร์จำนวนมาก แต่ในครั้งนี้มัลแวร์ที่อ้างชื่อ AI ดังกล่าวนั้น กำลังจะถูก AI อีกตัวเจาะจนทะลุปรุโปร่ง

จากรายงานโดยเว็บไซต์ PR Newswire ได้กล่าวถึงการที่ทางรักษาความปลอดภัย Security Operations Center (SOC) ของเว็บไซต์ผู้ให้บริการซื้อขายแลกเปลี่ยนคริปโตเคอร์เรนซี (Exchange) ชื่อดัง Bybit ได้นำเอาเครื่องมือ AI เข้ามาตรวจสอบแคมเปญปล่อยมัลแวร์ AMOS ซึ่งเป็นมัลแวร์ประเภทขโมยข้อมูลจากเครื่องของเหยื่อ หรือ Infostealer ที่มุ่งหน้าเล่นงานผู้ใช้งานระบบปฏิบัติการ macOS ซึ่งการใช้เครื่องมือ AI มาตรวจสอบแคมเปญของมัลแวร์ดังกล่าวเรียกได้ว่าทำได้จนทะลุปรุโปร่งด้วยการทำวิศวกรรมย้อนกลับ (Re-Engineering) โดยสามารถล้วงได้ถึงตัวโครงสร้างพื้นฐาน (Infrastructure) ของระบบควบคุม (C2 หรือ Command and Control), เอกลักษณ์ของไฟล์ (File Signature), พฤติกรรมของมัลแวร์ (Behavior Pattern), วงจรชีวิตของมัลแวร์ (Malware Lifecycle), ตัวบ่งชี้การบุกรุก (Indicators of Compromise หรือ IOC) ทั้งหมดนี้ทำได้ภายในเวลา 40 นาทีเท่านั้น โดยร่นระยะเวลาจากการตรวจสอบแบบเดิมที่ใช้เวลาอย่างน้อย 6 - 8 ชั่วโมง โดยทาง Bybit ได้กล่าวว่า ระบบใหม่นี้ช่วยให้ทางทีมงานสามารถรับมือการบุกรุกจากผู้ไม่ประสงค์ดีได้ไวกว่าการทำงานแบบเดิมถึง 70% เลยทีเดียว

สำหรับแคมเปญการแพร่กระจายมัลแวร์ AMOS ในรอบนี้นั้น ทาง Bybit ได้เปิดเผยว่า แฮกเกอร์ได้ใช้วิธีการวางยาการค้นหา คือ SEO Poisoning ที่จะทำให้ผู้ที่ค้นหาคำว่า Claude Code นั้นพบเว็บไซต์ปลอมของแฮกเกอร์เป็นอันดับแรก ๆ ของการค้นหาแทน ซึ่งภายในเว็บไซต์ปลอมนั้นจะมีการตกแต่งหลายอย่างที่ทำให้ออกมาดูน่าเชื่อถือ เช่น เอกสารเกี่ยวกับเครื่องมือ AI คล้ายกับเว็บไซต์จริง เพื่อหลอกล่อให้เหยื่อทำการดาวน์โหลดไฟล์แอปพลิเคชันปลอมที่ทำหน้าที่เป็นมัลแวร์นกต่อ (Dropper) ซึ่งจะนำไปสู่การฝังตัวของมัลแวร์แบบ 2 ขั้น

ในขั้นแรกนั้น ตัว Dropper ในรูปแบบไฟล์ Mach-O จะทำการรันสคริปท์แบบ osascript เพื่อฝังมัลแวร์ Infostealer อย่าง Amos (ในบางครั้งอาจเป็น Banshee) ลงบนเครื่อง ตามมาด้วยการตีรวนระบบป้องกันภัยไซเบอร์ (Obfuscation) แบบหลายเฟส (Multi-Phase) เพื่อลอบเข้าขโมยข้อมูลสำคัญ เช่น รหัสผ่านต่าง ๆ, รหัสที่ถูกบันทึกไว้บน macOS Keychain, Session การเข้าใช้งานแอปพลิเคชันแชท Telegram, โปรไฟล์การใช้งาน VPN (Virtual Private Network) และข้อมูลกระเป๋าเงินคริปโตเคอร์เรนซี (Wallet) ซึ่งมัลแวร์ตัวนี้สามารถขโมยข้อมูลของกระเป๋าแบบใช้งานในรูปแบบส่วนเสริมของเว็บเบราว์เซอร์ (Extension) ได้มากถึง 250 ตัวเลยทีเดียว

ในขั้นที่สอง จะเป็นการปล่อยไฟล์มัลแวร์ (Payload) อีกตัวหนึ่งซึ่งเป็นมัลแวร์ประเภทเปิดประตูหลังของระบบ (Backdoor) ที่ถูกเขียนขึ้นด้วยภาษา C++ ที่มาพร้อมกับความสามารถในการหลบเลี่ยงระบบตรวจจับในระดับสูง ซึ่งรวมถึงระบบตรวจว่ามัลแวร์นั้นทำงานบนสภาวะจำลองแบบ Sandbox หรือไม่ (Sandbox Detection) และการเข้ารหัส (Encryption) ส่วนของการตั้งค่าของ Runtime ของมัลแวร์ มัลแวร์ตัวนี้จะทำการสร้างความคงทนของตัวเองบนระบบ (Persistence) เพื่อให้สามารถทำงานบนระบบได้ตลอดเวลา แล้วทำการติดต่อกับระบบควบคุมด้วยโปรโตคอล HTTP ให้แฮกเกอร์สามารถเข้าควบคุมระบบจากระยะไกล (Remote Control) ได้