Home » 4. Other News

[Malware] เตือนภัย !!! มัลแวร์แคมเปญใหม่ เพียงเปิดไฟล์ PowerPoint ก็ถูกโจมตีทันที พร้อมรีโมทเข้ามาได้เลย

17 Aug 17 - By l

Trend Micro ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยแบบครบวงจร ออกมาแจ้งเตือนถึงมัลแวร์ตัวใหม่ ที่อาศัยช่องโหว่บน Object Linking and Embedding (OLE) ที่เพิ่งถูกอัพเดตแพทช์ไปเมื่อเดือนเมษายนที่ผ่านมา โดยจะโจมตีระบบคอมพิวเตอร์ โดยแฝงตัวมาในรูปของไฟล์ PowerPoint (PPSX) ที่ถูกออกแบบมาเป็นพิเศษ เพียงแค่เหยื่อเปิดไฟล์ คอมพิวเตอร์ก็จะถูกโจมตีทันที

นักวิจัยด้านความมั่นคงปลอดภัยจาก Trend Micro ระบุว่า มัลแวร์แคมเปญที่ค้นพบนี้อาศัยช่องโหว่รหัส CVE-2017-0199 ซึ่งโปรแกรม Antivirus หลายยี่ห้อในปัจจุบันไม่สามารถตรวจจับได้ โดยนักวิจัยยังค้นพบว่า มัลแวร์แคมเปญนี้แพร่กระจายตัวผ่านทางการโจมตีแบบ Spear-phishing หลอกว่าเป็นอีเมลที่ถูกส่งมาจากแผนขายของบริษัท โดยพุ่งเป้าไปที่อุตสาหกรรมการผลิตสายเคเบิล และบริษัทที่เกี่ยวข้องกับอุตสาหกรรมอิเล็กทรอนิกส์ ซึ่งมีขั้นตอนการโจมตี ดังนี้

ขั้นตอนที่ 1: การโจมตีเร่ิมต้นโดยแฮ็คเกอร์ส่งอีเมลที่แนบไฟล์ PowerPoint (PPSX) ซึ่งแฝงมัลแวร์อยู่ โดยหลอกว่าเป็นข้อมูลเกี่ยวกับการส่งสินค้าที่เพิ่งสั่งไป

ขั้นตอนที่ 2: เมื่อเหยื่อเผลอเปิดไฟล์ดังกล่าว ไฟล์นั้นจะเรียกไฟล์ XML ที่ถูกโปรแกรมลงไปให้ไปดาวน์โหลดไฟล์ “logo.doc” จากภายนอก แล้วสั่งรันผ่านทางฟีเจอร์ PowerPoint Show

ขั้นตอนที่ 3: ไฟล์ Logo.doc ทำการเจาะช่องโหว่ CVE-2017-0199 ซึ่งจะทำการดาวน์โหลดและรัน RATMAN.exe บนคอมพิวเตอร์ของเหยื่อ

ขั้นตอนที่4: RATMAN.exe เป็นเครื่องมือ Remcos Remote Control ประเภทโทรจัน ซึ่งเมื่อถูกติดตั้งแล้ว จะช่วยให้แฮ็คเกอร์สามารถเข้าควบคุมคอมพิวเตอร์เป้าหมายได้จากระยะไกลผ่านทาง C&C Server ไม่ว่าจะเป็นการโจมตีแบบ Remote Code Execution, Keylogger, Screen Logger หรือบันทึกเสียและภาพผ่านไมโครโฟนและเว็บแคม เป็นต้น

วิธีการป้องกันมัลแวร์แคมเปญที่ดีที่สุดในขณะนี้คือการอัปเดตแพทช์สำหรับอุดช่องโหว่ CVE-2017-0199 ที่ Microsoft เปิดให้ดาวน์โหลดเมื่อเดือนเมษายนที่ผ่านมา

ที่มา : thehackernews tecktalkthai




© Copyright - Notebookspec.com All Rights