Security Content

แอบขุด และขโมยข้อมูลด้วย MSI Afterburner ปลอม

Posted on by Ariya Phornpraphan
แอบขุด และขโมยข้อมูลด้วย MSI Afterburner ปลอม
25
Nov

แอบขุด และขโมยข้อมูลด้วย MSI Afterburner ปลอม โดยมีเป้าหมายหลักเป็นกลุ่มผู้เล่นเกมทั้งหลายที่ใช้ Windows ซึ่งมีการดาวน์โหลด MSI Afterburner ปลอมเพื่อทำให้ผู้ใช้ติดไวรัส

ด้วยเครื่องมือขุด cryptocurrency และมัลแวร์ขโมยข้อมูล RedLine

MSI Afterburner เป็นซอฟท์แวร์ที่ให้คุณปรับแต่ง GPU กำหนดค่าการโอเวอร์คล็อก การตั้งค่าพัดลม การอัดวิดีโอ และตรวจสอบอุณหภูมิการ์ดกราฟิกที่ติดตั้ง และการใช้งาน CPU

ตัวซอฟท์แวร์ถูกสร้าง และพัฒนาโดย MSI ยูทิลิตี้นี้สามารถดึงประสิทธิภาพของตัวการ์ดกราฟฟิกได้อย่างเต็มที่ ซึ่งนำไปสู่การใช้งานโดยเกมเมอร์หลายล้านคนทั่วโลกที่ปรับแต่งการตั้งค่าเพื่อปรับปรุงประสิทธิภาพของเกม ทำให้ GPU ของพวกเขาเงียบขึ้น และทำให้อุณหภูมิต่ำลง

อย่างไรก็ตาม ความนิยมของเครื่องมือนี้ยังทำให้มันกลายเป็นเป้าหมายที่ดีสำหรับผู้โจมตี ซึ่งกำลังมองหาเป้าหมายผู้ใช้ Windows ด้วย GPU อันทรงพลังที่สามารถขุด cryptocurrency ได้เป็นอย่างดี

ปลอมตัวให้เป็น MSI Afterburner

ตามรายงานของ Cyble เว็บไซต์มากกว่า 50 แห่งที่แอบอ้างเป็นเว็บไซต์อย่างเป็นทางการของ MSI Afterburner ได้ปรากฏทางออนไลน์ในช่วงสามเดือนที่ผ่านมา ทำให้มีคนโหลดตัวขุด XMR (Monero) พร้อมกับมัลแวร์ขโมยข้อมูลไปเป็นจำนวนมาก

Malicious website pushing laced MSI Afterburner

แคมเปญนี้ใช้โดเมนที่สามารถหลอกให้ผู้ใช้คิดว่าพวกเขากำลังเยี่ยมชมเว็บไซต์ MSI ที่ถูกต้อง และโปรโมตได้ง่ายกว่าโดยใช้ BlackSEO โดเมนบางส่วนที่ Cyble ตรวจพบมีดังต่อไปนี้:

  • msi-afterburner–download.site
  • msi-afterburner-download.site
  • msi-afterburner-download.tech
  • msi-afterburner-download.online
  • msi-afterburner-download.store
  • msi-afterburner-download.ru
  • msi-afterburner.download
  • mslafterburners.com
  • msi-afterburnerr.com

ในกรณีอื่นๆ โดเมนไม่เหมือนกับแบรนด์ MSI ได้รับการโปรโมตผ่านข้อความโดยตรง ฟอรัม และโพสต์บนโซเชียล

  • git[.]git[.]skblxin[.]matrizauto[.]net
  • git[.]git[.]git[.]skblxin[.]matrizauto[.]net
  • git[.]git[.]git[.]git[.]skblxin[.]matrizauto[.]net
  • git[.]git[.]git[.]git[.]git[.]skblxin[.]matrizauto[.]net

การแอบขุดอย่างลับ ๆ ในขณะที่ขโมยรหัสผ่านของคุณ

เมื่อติดตั้งไฟล์ MSI Afterburner ปลอม (MSIAfterburnerSetup.msi) โปรแกรม Afterburner ที่ถูกต้องจะถูกติดตั้ง พร้อมกับปล่อยมัลแวร์ขโมยข้อมูล RedLine และ XMR miner อย่างเงียบ ๆ บนคอมพิวเตอร์

ตัวขุดถูกติดตั้งผ่านไฟล์เรียกทำงาน Python 64 บิตชื่อ ‘browser_assistant.exe’ ในไดเร็กทอรี Program Files ในเครื่อง ซึ่งจะแทรกเข้าไปตอนติดตั้งซอฟท์แวร์

โค้ดนี้ดึงตัวขุด XMR จากที่เก็บ GitHub และแทรกเข้าไปในหน่วยความจำโดยตรงในกระบวนการ explorer.exe เนื่องจากตัวขุดไม่ได้ยุ่งกับตัวดิสก์ โอกาสที่ระบบรักษาความปลอดภัยจะตรวจจับได้จึงลดลง

ตัวขุดเชื่อมต่อกับพูลการขุด โดยชื่อผู้ใช้และรหัสผ่านแบบฮาร์ดโค้ด จากนั้นรวบรวมข้อมูลระบบพื้นฐานส่งกลับไปให้ผู้โจมตี

หนึ่งในข้อโต้แย้งที่ XMR miner ใช้คือ ‘CPU max threads’ ที่ตั้งค่าเป็น 20 ซึ่งเป็นการเพิ่มจำนวนเธรดของ CPU ที่ทันสมัยที่สุด ดังนั้นจึงตั้งค่าให้จับพลังงานทั้งหมดที่มี

XMRminer argument details

เมื่อเครื่องเข้าสู่โหมด idling ตัวขุดถูกตั้งค่าให้ขุดเพียงแค่ 60 นาทีเท่านั้น หมายความว่าคอมพิวเตอร์ที่ติดไวรัสไม่ได้ใช้ทรัพยากรมาก และผู้ใช้งานเครื่องมักไม่อยู่ที่หน้าจอแล้วในตอนนั้น

นอกจากนี้ยังใช้”-cinit-stealth-targets” ซึ่งเป็นตัวเลือกในการหยุดกิจกรรมการขุดชั่วคราวและล้างหน่วยความจำ GPU เมื่อมีการเปิดใช้โปรแกรมเฉพาะที่อยู่ในรายการ “stealth targets”

เครื่องมือเหล่านี้อาจเป็นตัวตรวจสอบกระบวนการ เครื่องมือป้องกันไวรัส โปรแกรมดูทรัพยากรฮาร์ดแวร์ และเครื่องมืออื่นๆ ที่ช่วยให้เหยื่อตรวจพบกระบวนการที่เป็นอันตราย

ในกรณีนี้ แอปพลิเคชัน Windows ที่นักขุดพยายามซ่อนคือ Taskmgr.exe, ProcessHacker.exe, perfmon.exe, procexp.exe และ procexp64.exe

แม้ว่านักขุดกำลังแอบขโมยทรัพยากรคอมพิวเตอร์ของคุณอย่างเงียบ ๆ เพื่อขุด Monero RedLine ได้ทำงานอยู่เบื้องหลังแล้วเพื่อขโมยรหัสผ่าน คุกกี้ ข้อมูลเบราว์เซอร์ และอาจรวมถึงกระเป๋าเงินดิจิทัลใด ๆ

น่าเสียดายที่ส่วนประกอบของแคมเปญ MSI Afterburner ปลอมเกือบทั้งหมดมีการตรวจจับซอฟต์แวร์ป้องกันไวรัสที่ไม่ดี

VirusTotal รายงานว่าไฟล์ติดตั้ง ‘MSIAfterburnerSetup.msi’ ที่เป็นอันตรายถูกตรวจพบโดยผลิตภัณฑ์รักษาความปลอดภัย 3 รายการจากทั้งหมด 56 รายการ ในขณะที่ ‘browser_assistant.exe’ ตรวจพบเพียง 2 รายการจาก 67 รายการ

เพื่อให้ปลอดภัยจากมัลแวร์ ให้ดาวน์โหลดเครื่องมือโดยตรงจากเว็บไซต์อย่างเป็นทางการ แทนที่จะเป็นเว็บไซต์ที่แชร์ในฟอรัม โซเชียลมีเดีย ในกรณีนี้ คุณสามารถดาวน์โหลด MSI Afterburner ที่ถูกต้องได้โดยตรงจาก MSI

การป้องกันซอฟต์แวร์แอนตี้ไวรัสที่เพียงพอจึงเป็นสิ่งจำเป็นสำหรับบุคคลและธุรกิจทุกขนาด เช่น Adaptive Defense 360 ที่นำมาโดยระบบ EDR สำหรับป้องกัน ransomware และภัยคุกคามทางไซเบอร์ทุกชนิด ไม่หน่วงเครื่อง ใช้ทรัพยากรเครื่องน้อยที่สุด พร้อมตัว Web Access Control ตั้งค่าการเข้าถึงเว็บไซต์ของเครื่องได้ตามช่วงเวลา หรือตั้งค่า blacklist , whitelist เป็นต้น หากท่านสนใจสามารถขอทดลองใช้ได้ฟรี 30 วัน

หากคุณต้องการให้ทางทีมงานแนะนำข้อมูล หรือต้องการปรึกษาปัญหาด้าน cyber security หรือต้องการให้นำเสนอบริการหรือผลิตภัณฑ์ ทีมงานและผู้เชี่ยวชาญด้าน Endpoint Security ประสบการณ์มากกว่า 10 ปี พร้อมให้บริการและคำปรึกษาแก่คุณ

Credit https://www.bleepingcomputer.com/

Ariya Phornpraphan

Leave a Reply

Your email address will not be published. Required fields are marked *