มัลแวร์ CloudZ ใช้ประโยชน์จาก Microsoft Phone Link ดูด SMS

มัลแวร์ CloudZ ใช้ประโยชน์จาก Microsoft Phone Link ดูด SMS

จากคอมบริษัท

การลักลอบดูดช้อความสั้น (Short Message Service หรือ SMS) โดยมัลแวร์นั้น ใช่ว่าจะเกิดชึ้นบนโทรศัพท์เพียงอย่างเดียว เพราะปัจจุบันด้วยการใช้เครื่องมือเพื่อเชื่อมต่อโทรศัพท์มือถือ กับคอมพิวเตอร์นั้น ทำให้แฮกเกอร์สามารถขโมยข้อมูลผ่านคอมพิวเตอร์ได้อย่างง่ายดาย ดังเช่นในช่าวนี้

จากรายงานโดยเว็บไซต์ CSO Online ได้กล่าวถึงการตรวจพบมัลแวร์แบบเข้าควบคุมเครื่องจากระยะไกล หรือ RAT (Remote Access Trojan) ที่มีชื่อว่า CloudZ และปลั๊กอิน (Pheno) ที่มีความสามารถในการทำงานร่วมกันเพื่อขโมยข้อมูลของโทรศัพท์มือถือผ่านเครื่องมือสำหรับเชื่อมต่อโทรศัพท์มือถือ ทั้งแบบระบบปฏิบัติการ iOS และ Android กับคอมพิวเตอร์อย่าง Microsoft Phone Link ได้ ซึ่งเครื่องมือตัวนี้มักจะถูกใช้งานในระดับองค์กรขนาดใหญ่ (Enterprise) เนื่องจากสามารถช่วยให้พนักงานสามารถมองเห็นการแจ้งเตือน, ข้อความ และสายเรียกเข้าต่าง ๆ ที่เข้ามายังโทรศัพท์ที่เชื่อมต่อกับคอมพิวเตอร์ผ่านแอปพลิเคชันนี้ได้ และข้อสำคัญของซอฟต์แวร์ตัวนี้คือ ข้อมูลทั้งหมดที่รับผ่านซอฟต์แวร์ตัวนี้จะถูกบันทึกไว้บนเครื่องคอมพิวเตอร์ (Local) และนี่ก็เป็นจุดอ่อนที่มัลแวร์ และปลั๊กอินดังกล่าวใช้งานเพื่อขโมยข้อมูลที่มาจากโทรศัพท์มือถือ

โดยในการเข้าถึงระบบของเหยื่อนั้น ทางทีมวิจัยจาก Cisco Talos ซึ่งเป็นผู้ตรวจพบมัลแวร์ตัวนี้นั้นกล่าวว่า ตัวพาหะนั้นยังไม่ชัดเจนว่าแฮกเกอร์ใช้งานสิ่งใดมาเป็นพาหะ หรือช่องทางในการเข้าถึงเหยื่อ แต่ที่ชัดเจนคือ ไฟล์แรกที่แฮกเกอร์หลอกให้รัน (Execution) นั้นจะเป็นไฟล์ที่อ้างว่าเป็นตัวอัปเดตของเครื่องมือสำหรับการใช้งาน Remote Desktop ชื่อว่า ScreenConnect โดยตัวไฟล์นั้นจะเป็นไฟล์มัลแวร์นกต่อ (Loader) ที่ถูกเขียนขึ้นด้วยภาษา Rust และมีชื่อไฟล์ว่า “systemupdates.exe” ซึ่งหลังจากรันขึ้นมาแล้วก็จะนำมาสู่การคลายไฟล์มัลแวร์ Loader ที่ถูกเขียนขึ้นบนพื้นฐานของ .NET ลงมาอีกทีหนึ่งโดยปลอมตัวเป็นไฟล์ Text ในโฟลเดอร์ระบบ (System) ของตัว Windows ซึ่ง .NET Loader ตัวนี้จะทำการใช้งานเครื่องมือต่อต้านการถูกวิเคราะห์ (Anti-Analysis) เพื่อตรวจสอบตัวระบบก่อนที่จะทำการคลายมัลแวร์ CloudZ ตัวจริงออกมา ซึ่งตัวมัลแวร์ CloudZ นั้นจะถูกถอดรหัส (Decryption) และรันบนหน่วยความจำโดยตรง (In-Memory Execution) ทำให้ถูกตรวจสอบโดยเครื่องมือตรวจจับได้ยาก

ในขณะเดียวกัน ตัวมัลแวร์ Loader ตัวแรกก็จะทำการสร้างความคงทนบนระบบ (Persistence) ให้กับตัวมัลแวร์ด้วยการตั้งเวลาการทำงาน (Task Scheduling) ภายใต้ชื่อ “SystemWindowsApis” โดยจะถูกตั้งเวลาให้รันทุกครั้งเวลาที่ถูกเปิดเครื่องขึ้นมาใหม่ (Startup) พร้อมทั้งอัปเกรดสิทธิ์ในการเข้าถึงระบบ (Privilege) ด้วยการใช้งานเครื่องมือ (Utility) ของตัว Windows ที่มีชื่อว่า regasm.exe

หลังจากที่ตัวมัลแวร์ CloudZ ได้ฝังตัวเองลงระบบเป็นที่เรียบร้อยแล้ว มัลแวร์ก็จะทำการติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ในทันทีผ่านทางช่องทางเข้ารหัส (Encryption) เพื่อดึงฟังก์ชันต่าง ๆ ที่จำเป็นลงมา ไม่ว่าจะเป็น ฟังก์ชันขโมยรหัสผ่าน (Credential Harvesting), เครื่องมือจัดการไฟล์ (File Operation) และฟังก์ชันการรันคำสั่งจากระยะไกล (Remote Command Execution) นอกจากนั้นยังได้มีการดาวน์โหลดการตั้งค่า (Configuration) ชุดที่ 2 ลงมาจากเซิร์ฟเวอร์ C2 อีกด้วย

หนึ่งในเครื่องมือที่สำคัญในแคมเปญนี้คือ ปลั๊กอินของมัลแวร์ที่มีชื่อว่า Pheno ซึ่งจะทำหน้าที่ในการสแกนว่ามีการใช้งาน Phone Link อยู่บนคอมพิวเตอร์ของเหยื่อหรือไม่ ด้วยการสแกนหา Process ที่มีชื่อว่า ‘YourPhone,’ ‘PhoneExperienceHost,’ หรือ ‘Link to Windows’ และบันทึกการทำงาน (Log) ของซอฟต์แวร์ดังกล่าวที่ถูกบันทึกอยู่บนเครื่อง โดยถ้ามีการตรวจพบ ตัวปลั๊กอินก็จะทำการปักธง (Flagged) ว่าเครื่องมีการใช้งาน Phone Link อยู่ แล้วทำการส่งข้อมูลกลับไปให้ทางแฮกเกอร์เพื่อใช้งานมัลแวร์ CloudZ ในการขโมยข้อมูลของโทรศัพท์มือถือที่ถูกส่งมาบน Phone Link ที่ได้ถูกบันทึกไว้เป็นไฟล์ฐานข้อมูล (Database) แบบ SQLite ในทันที โดยข้อมูลที่ขโมยได้นั้นจะครอบคลุมตั้งแต่ ข้อความ SMS, รหัสผ่านแบบใช้งานครั้งเดียว (One-Time Password หรือ OTP), และข้อมูลสำหรับใช้ในการยืนยันตัวตน (Authentication) ต่าง ๆ ที่อยู่บนแอปพลิเคชันสำหรับใช้ในการยืนยันตัวตน (Authenticator) ที่โทรศัพท์มือถือของเหยื่อใช้งานอยู่