แฮกเกอร์ใช้ PyInstaller ซ่อนมัลแวร์ Xworm ไว้ภายใน แล้วปลอมเป็นอัปเดตปลอมหลอกเหยื่อ

แฮกเกอร์ใช้ PyInstaller ซ่อนมัลแวร์ Xworm ไว้ภายใน แล้วปลอมเป็นอัปเดตปลอมหลอกเหยื่อ

จากรายงานโดยเว็บไซต์ SCWorld กล่าวถึงการที่ทีมวิจัยจาก Point Wild ได้ตรวจพบการที่แฮกเกอร์ได้นำเอาเครื่องมือสำหรับผู้พัฒนาซอฟต์แวร์ (Developer) อย่าง PyInstaller มาใช้ในการซุกมัลแวร์ Xworm ไว้ภายในไฟล์ที่ดูไม่มีพิษมีภัย โดยแฮกเกอร์จะนำเอาไฟล์ที่จะใช้เป็นพาหะ มาแทรกโค้ดของมัลแวร์ลงไปด้วย PyInstaller เพื่อสร้างไฟล์สำหรับรัน (Executable) ขึ้นมาจากไฟล์สคริปท์ ซึ่งจะส่งผลให้เหยื่อที่เปิดไฟล์ขึ้นมานั้นรู้สึกไม่ผิดสังเกต ในขณะที่เบื้องหลัง (Background) นั้นทำการรันติดตั้งมัลแวร์ตามสคริปท์ที่สอดแทรกเข้าไป ในขณะเดียวกันก็ส่งผลให้ตัวมัลแวร์สามารถเล็ดลอดระบบตรวจจับของเครื่องเหยื่อได้อีกด้วย

โดยภายในตัวโค้ดนั้น ทางทีมวิจัยได้ตรวจพบโค้ดลวง (Dummy) ชื่อว่า "_IAT_PHANTOM_FIX" ซึ่งคาดว่ามีไว้เพื่อต่อต้านการถูกวิเคราะห์ (Anti-Analysis) โดยเครื่องมือวิเคราะห์มัลแวร์ ทั้งยังมีการปิดระบบสแกนไวรัสของตัว Windows ชื่อ Antimalware Scan Interface (AMSI) ด้วยการใช้งาน AMSI Memory Patching อีกด้วย

สำหรับตัวสคริปท์มัลแวร์ (Payload) ที่ซ่อนอยู่ภายในไฟล์นั้น หลังจากที่ถูกปล่อยออกมาจากตัวไฟล์พาหะแล้ว ก็จะเข้าไปซ่อนตัวอยู่ภายในโฟลเดอร์ %LOCALAPPDATA% บนระบบของเหยื่อภายใต้ชื่อไฟล์ที่ดูเหมือนกับไฟล์ทั่วไป เช่น "Win.Kernel_Svc_AJ8iOw.exe" แล้วจึงทำการซ่อน (Hidden) ตัวไฟล์มัลแวร์เองปะปนรวมกับไฟล์ระบบอื่น ๆ โดยมัลแวร์ XWorm V7.4 ซึ่งเป็นรุ่นที่ตกเป็นข่าวนี้ หลังจากฝังลงเครื่องสำเร็จ ก็จะทำการติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ด้วยการใช้งานกุญแจลับ (Secret Key) ที่ถูกเข้ารหัสแบบ AES เพื่อรับคำสั่งโจมตี โดยความสามารถในการโจมตีระบบของเหยื่อนั้น จะครอบคลุมตั้งแต่ การขโมยรหัสผ่านต่าง ๆ, การลักลอบเข้าถึงไฟล์บนเครื่อง, การแอบใช้งานกล้องเว็บแคม (Webcam) เพื่อสอดแนมเหยื่อ ไปจนถึงการใช้งานเครื่องของเหยื่อมาเป็นส่วนหนึ่งในการยิงระบบที่ใหญ่กว่า หรือ DDoS (Distributed Denial-of-Service) ได้เลยทีเดียว