หน้าแรก ตรวจหวย เว็บบอร์ด ควิซ Pic Post แชร์ลิ้ง หาเพื่อน Chat หาเพื่อน Line Page อัลบั้ม คำคม Glitter เกมถอดรหัสภาพ คำนวณ การเงิน ราคาทองคำ กินอะไรดี
ข้อตกลงการใช้บริการนโยบายความเป็นส่วนตัวนโยบายเนื้อหานโยบายการสร้างรายได้About Usติดต่อเว็บไซต์แจ้งเนื้อหาไม่เหมาะสม
News บอร์ดต่างๆค้นหาตั้งกระทู้

มัลแวร์ CloudZ ใช้ประโยชน์จาก Microsoft Phone Link ดูด SMS

เขียนโดย Annonymus TN

มัลแวร์ CloudZ ใช้ประโยชน์จาก Microsoft Phone Link ดูด SMS

จากคอมบริษัท

 

การลักลอบดูดช้อความสั้น (Short Message Service หรือ SMS) โดยมัลแวร์นั้น ใช่ว่าจะเกิดชึ้นบนโทรศัพท์เพียงอย่างเดียว เพราะปัจจุบันด้วยการใช้เครื่องมือเพื่อเชื่อมต่อโทรศัพท์มือถือ กับคอมพิวเตอร์นั้น ทำให้แฮกเกอร์สามารถขโมยข้อมูลผ่านคอมพิวเตอร์ได้อย่างง่ายดาย ดังเช่นในช่าวนี้

 

จากรายงานโดยเว็บไซต์ CSO Online ได้กล่าวถึงการตรวจพบมัลแวร์แบบเข้าควบคุมเครื่องจากระยะไกล หรือ RAT (Remote Access Trojan) ที่มีชื่อว่า CloudZ และปลั๊กอิน (Pheno) ที่มีความสามารถในการทำงานร่วมกันเพื่อขโมยข้อมูลของโทรศัพท์มือถือผ่านเครื่องมือสำหรับเชื่อมต่อโทรศัพท์มือถือ ทั้งแบบระบบปฏิบัติการ iOS และ Android กับคอมพิวเตอร์อย่าง Microsoft Phone Link ได้ ซึ่งเครื่องมือตัวนี้มักจะถูกใช้งานในระดับองค์กรขนาดใหญ่ (Enterprise) เนื่องจากสามารถช่วยให้พนักงานสามารถมองเห็นการแจ้งเตือน, ข้อความ และสายเรียกเข้าต่าง ๆ ที่เข้ามายังโทรศัพท์ที่เชื่อมต่อกับคอมพิวเตอร์ผ่านแอปพลิเคชันนี้ได้ และข้อสำคัญของซอฟต์แวร์ตัวนี้คือ ข้อมูลทั้งหมดที่รับผ่านซอฟต์แวร์ตัวนี้จะถูกบันทึกไว้บนเครื่องคอมพิวเตอร์ (Local) และนี่ก็เป็นจุดอ่อนที่มัลแวร์ และปลั๊กอินดังกล่าวใช้งานเพื่อขโมยข้อมูลที่มาจากโทรศัพท์มือถือ

 

โดยในการเข้าถึงระบบของเหยื่อนั้น ทางทีมวิจัยจาก Cisco Talos ซึ่งเป็นผู้ตรวจพบมัลแวร์ตัวนี้นั้นกล่าวว่า ตัวพาหะนั้นยังไม่ชัดเจนว่าแฮกเกอร์ใช้งานสิ่งใดมาเป็นพาหะ หรือช่องทางในการเข้าถึงเหยื่อ แต่ที่ชัดเจนคือ ไฟล์แรกที่แฮกเกอร์หลอกให้รัน (Execution) นั้นจะเป็นไฟล์ที่อ้างว่าเป็นตัวอัปเดตของเครื่องมือสำหรับการใช้งาน Remote Desktop ชื่อว่า ScreenConnect โดยตัวไฟล์นั้นจะเป็นไฟล์มัลแวร์นกต่อ (Loader) ที่ถูกเขียนขึ้นด้วยภาษา Rust และมีชื่อไฟล์ว่า “systemupdates.exe” ซึ่งหลังจากรันขึ้นมาแล้วก็จะนำมาสู่การคลายไฟล์มัลแวร์ Loader ที่ถูกเขียนขึ้นบนพื้นฐานของ .NET ลงมาอีกทีหนึ่งโดยปลอมตัวเป็นไฟล์ Text ในโฟลเดอร์ระบบ (System) ของตัว Windows ซึ่ง .NET Loader ตัวนี้จะทำการใช้งานเครื่องมือต่อต้านการถูกวิเคราะห์ (Anti-Analysis) เพื่อตรวจสอบตัวระบบก่อนที่จะทำการคลายมัลแวร์ CloudZ ตัวจริงออกมา ซึ่งตัวมัลแวร์ CloudZ นั้นจะถูกถอดรหัส (Decryption) และรันบนหน่วยความจำโดยตรง (In-Memory Execution) ทำให้ถูกตรวจสอบโดยเครื่องมือตรวจจับได้ยาก

 

ในขณะเดียวกัน ตัวมัลแวร์ Loader ตัวแรกก็จะทำการสร้างความคงทนบนระบบ (Persistence) ให้กับตัวมัลแวร์ด้วยการตั้งเวลาการทำงาน (Task Scheduling) ภายใต้ชื่อ “SystemWindowsApis” โดยจะถูกตั้งเวลาให้รันทุกครั้งเวลาที่ถูกเปิดเครื่องขึ้นมาใหม่ (Startup) พร้อมทั้งอัปเกรดสิทธิ์ในการเข้าถึงระบบ (Privilege) ด้วยการใช้งานเครื่องมือ (Utility) ของตัว Windows ที่มีชื่อว่า regasm.exe

 

หลังจากที่ตัวมัลแวร์ CloudZ ได้ฝังตัวเองลงระบบเป็นที่เรียบร้อยแล้ว มัลแวร์ก็จะทำการติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ในทันทีผ่านทางช่องทางเข้ารหัส (Encryption) เพื่อดึงฟังก์ชันต่าง ๆ ที่จำเป็นลงมา ไม่ว่าจะเป็น ฟังก์ชันขโมยรหัสผ่าน (Credential Harvesting), เครื่องมือจัดการไฟล์ (File Operation) และฟังก์ชันการรันคำสั่งจากระยะไกล (Remote Command Execution) นอกจากนั้นยังได้มีการดาวน์โหลดการตั้งค่า (Configuration) ชุดที่ 2 ลงมาจากเซิร์ฟเวอร์ C2 อีกด้วย

 

หนึ่งในเครื่องมือที่สำคัญในแคมเปญนี้คือ ปลั๊กอินของมัลแวร์ที่มีชื่อว่า Pheno ซึ่งจะทำหน้าที่ในการสแกนว่ามีการใช้งาน Phone Link อยู่บนคอมพิวเตอร์ของเหยื่อหรือไม่ ด้วยการสแกนหา Process ที่มีชื่อว่า ‘YourPhone,’ ‘PhoneExperienceHost,’ หรือ ‘Link to Windows’ และบันทึกการทำงาน (Log) ของซอฟต์แวร์ดังกล่าวที่ถูกบันทึกอยู่บนเครื่อง โดยถ้ามีการตรวจพบ ตัวปลั๊กอินก็จะทำการปักธง (Flagged) ว่าเครื่องมีการใช้งาน Phone Link อยู่ แล้วทำการส่งข้อมูลกลับไปให้ทางแฮกเกอร์เพื่อใช้งานมัลแวร์ CloudZ ในการขโมยข้อมูลของโทรศัพท์มือถือที่ถูกส่งมาบน Phone Link ที่ได้ถูกบันทึกไว้เป็นไฟล์ฐานข้อมูล (Database) แบบ SQLite ในทันที โดยข้อมูลที่ขโมยได้นั้นจะครอบคลุมตั้งแต่ ข้อความ SMS, รหัสผ่านแบบใช้งานครั้งเดียว (One-Time Password หรือ OTP), และข้อมูลสำหรับใช้ในการยืนยันตัวตน (Authentication) ต่าง ๆ ที่อยู่บนแอปพลิเคชันสำหรับใช้ในการยืนยันตัวตน (Authenticator) ที่โทรศัพท์มือถือของเหยื่อใช้งานอยู่

เนื้อหาโดย: Annonymus TN
⚠ แจ้งเนื้อหาไม่เหมาะสม 
Annonymus TN's profile
มีผู้เข้าชมแล้ว 42 ครั้ง
เขียนโดย Annonymus TN
นักข่าวสายอาชญากรรมไซเบอร์และเทคโนโลยี เชี่ยวชาญการรายงานภัยออนไลน์ เช่น มัลแวร์ การหลอกลวง และการใช้ AI ในทางผิด โดยนำเสนอข้อมูลที่ซับซ้อนให้เข้าใจง่าย กระชับ และตรงประเด็น เพื่อให้ผู้อ่านรู้ทันภัยดิจิทัลก่อนตกเป็นเ
เป็นกำลังใจให้เจ้าของกระทู้โดยการ VOTE และ SHARE
Hot Topic ที่น่าสนใจอื่นๆ
แนวทางเลข "ม้าวิ่ง" 16 กรกฏาคม 2569เขตของกรุงเทพมหานคร ที่มีสภาพเป็นพื้นที่ชนบทมากที่สุดเปิด 3 ประเทศยอดฮิตที่เด็ก สปป.ลาว นิยมไปเรียนต่อต่างประเทศ10 การ์ตูนยุค 90 ที่ครองใจเด็กไทยและยังถูกคิดถึงจนวันนี้เทรนด์เลขมงคล "ฟ้าบันดาลทรัพย์" 16/7/69จังหวัดอันดับหนึ่งของไทย ที่โดดเด่นเรื่องนางงามมากที่สุดเจาะลึกแนวทางเลขเด็ดจาก ดุ่ย ภรัณ 16/7/69จังหวัดที่เหมาะกับการปลูกทุเรียน ปลูกที่ไหนให้ได้ผลผลิตดี4 สุสานที่ใหญ่ที่สุดในประเทศไทย5 รถมอเตอร์ไซค์ที่ทำตลาดในไทยได้ ไม่ดี และมียอดขายไม่สูง"แต๋วจ๋าพารวย" วันที่ 16 กรกฎาคม 25697 ไอเทมที่คนรวยจริง "ไม่คิดจะซื้อ" แต่อวดรวยชอบมี
Hot Topic ที่มีผู้ตอบล่าสุด
เจาะลึกแนวทางเลขเด็ดจาก ดุ่ย ภรัณ 16/7/6910 การ์ตูนยุค 90 ที่ครองใจเด็กไทยและยังถูกคิดถึงจนวันนี้เทรนด์เลขมงคล "ฟ้าบันดาลทรัพย์" 16/7/69จังหวัดที่เหมาะกับการปลูกทุเรียน ปลูกที่ไหนให้ได้ผลผลิตดีตำรวจคลองท่อมรวบชายวัย 51 ปี พร้อมยา ดำเนินคดีตามกฎหมายเงินและทองเกิดจากอะไร? ตำนานฮินดูเล่าถึงโมหิณี พระศิวะ และมายาแห่งกิเลส
กระทู้อื่นๆในบอร์ด ข่าววันนี้
รถจอดนิ่งเปิดแอร์นาน ๆ เสี่ยงอะไร? บทเรียนจากเหตุเสียชีวิตคารถตำรวจคลองท่อมรวบชายวัย 51 ปี พร้อมยา ดำเนินคดีตามกฎหมายอินเดียกับมาตรการ OMSSตำรวจเกาะลันตาระดมกวาดล้างอาชญากรรม รวบหนุ่มวัย 24 ปี พร้อมยาบ้า
ตั้งกระทู้ใหม่