มัลแวร์ Cocktail โจมตี Microsoft Office ที่ละเมิดลิขสิทธิ์ อาชญากรไซเบอร์กำลังโจมตีด้วมัลแวร์ Cocktail ผ่าน Microsoft Office เวอร์ชันแคร็กที่ได้ผู้ใช้งานนิยมโหลดทอร์เรนต์
มัลแวร์ที่ส่งถึงผู้ใช้ประกอบด้วยโทรจันการเข้าถึงระยะไกล (RAT) ตัวขุดสกุลเงินดิจิทัล ตัวดาวน์โหลดมัลแวร์ เครื่องมือพร็อกซี และโปรแกรมต่อต้าน AV
AhnLab Security Intelligence Center (ASEC) ได้ระบุว่าการโจมตีที่เกิดเกี่ยวข้องกับการดาวน์โหลดซอฟต์แวร์ละเมิดลิขสิทธิ์ นักวิจัยชาวเกาหลีค้นพบว่าผู้โจมตีใช้เหยื่อล่อหลายชนิด รวมถึง Microsoft Office, Windows และโปรแกรมประมวลผลคำอังกูล ซึ่งเป็นที่นิยมในเกาหลี
Microsoft Office สู่มัลแวร์
โปรแกรมMicrosoft Office ที่แคร็กมีอินเทอร์เฟซที่ออกแบบมาอย่างดี ให้ผู้ใช้เลือกเวอร์ชันที่ต้องการติดตั้ง ภาษา และเลือกใช้เวอร์ชัน 32 หรือ 64 บิต
อย่างไรก็ตามในฉากหลังโปรแกรมติดตั้งจะเปิดมัลแวร์ .NET ที่สร้างความสับสน ซึ่งติดต่อกับช่องทาง Telegram หรือ Mastodon เพื่อรับ URL ดาวน์โหลดที่ถูกต้องพร้อมส่วนประกอบอื่นๆ โดยชี้ไปที่ Google Drive หรือ GitHub ซึ่งเป็นบริการที่ถูกต้องตามกฎหมายซึ่งทำไม่มีการแจ้งเตือนจากระบบ Antivirus
เพย์โหลด base64 ที่โฮสต์บนแพลตฟอร์มเหล่านั้นประกอบด้วยคำสั่ง PowerShell ที่แนะนำมัลแวร์หลากหลายสายพันธุ์ ซึ่งแตกไฟล์โดยใช้ 7Zip
ส่วนประกอบมัลแวร์ ‘Updater’ จะลง registry ใน Windows Task Scheduler จากข้อมูลของ ASEC มัลแวร์ประเภทต่อไปนี้จะได้รับการติดตั้งบนระบบของเหยื่อ
- Orcus RAT: ช่วยให้สามารถควบคุมระยะไกลได้อย่างครอบคลุม รวมถึงการล็อกคีย์ การเข้าถึงเว็บแคม การจับภาพหน้าจอ และการจัดการระบบเพื่อขโมยข้อมูล
- XMRig: ขุด Cryptocurrency ที่ใช้ทรัพยากรระบบในการขุด Monero มันหยุดการขุดระหว่างการใช้ทรัพยากรสูง เช่น เมื่อเหยื่อกำลังเล่นเกม เพื่อหลีกเลี่ยงการตรวจจับ
- 3Proxy: แปลงระบบที่ติดไวรัสให้เป็นพร็อกซีเซิร์ฟเวอร์โดยการเปิดพอร์ต 3306 และแทรกเข้าไปในกระบวนการที่ถูกต้องตามกฎหมาย ทำให้ผู้โจมตีสามารถกำหนดเส้นทางการรับส่งข้อมูลที่เป็นอันตรายได้
- PureCrypter: ดาวน์โหลดและดำเนินการเพย์โหลดที่เป็นอันตรายเพิ่มเติมจากแหล่งภายนอก
- AntiAV: รบกวนและปิดการใช้งานซอฟต์แวร์ความปลอดภัยโดยการแก้ไขไฟล์การกำหนดค่า ป้องกันไม่ให้ซอฟต์แวร์ทำงานได้อย่างถูกต้อง
ผู้ใช้ควรระมัดระวังเมื่อติดตั้งไฟล์ที่ดาวน์โหลดจากแหล่งที่น่าสงสัย และโดยทั่วไปควรหลีกเลี่ยงซอฟต์แวร์ละเมิดลิขสิทธิ์/แคร็ก มีการใช้แคมเปญที่คล้ายกันเพื่อผลักดัน STOP ransomware ซึ่งเป็นการดำเนินการของ ransomware ที่มีการใช้งานมากที่สุดโดยกำหนดเป้าหมายไปที่ผู้ใช้งาน
Multi-Factor Authentication (MFA) โดย WatchGuard: เพิ่มความปลอดภัยในโลกที่เชื่อมต่อถึงกัน
การปกป้องข้อมูลที่ละเอียดอ่อนถือเป็นสิ่งสำคัญยิ่ง เนื่องจากองค์กรต่างๆ พึ่งพาแพลตฟอร์มดิจิทัลมากขึ้น ความจำเป็นในการใช้มาตรการตรวจสอบความถูกต้องที่เข้มงวดจึงมีความจำเป็น Multi-Factor Authentication (MFA) ของ WatchGuard กลายเป็นผู้พิทักษ์ที่แข็งแกร่ง โดยมอบการรักษาความปลอดภัยเพิ่มเติมอีกชั้นที่นอกเหนือไปจากการป้องกันด้วยรหัสผ่านแบบเดิมๆMFA คือวิธีการตรวจสอบสิทธิ์ที่กำหนดให้ผู้ใช้ยืนยันตัวตนหลายรูปแบบ WatchGuard โดยนำเสนอโซลูชั่นที่ครอบคลุมสะดวกสบายของผู้ใช้เข้ากับความปลอดภัยที่เข้มงวด
การตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) ของ AuthPoint มอบความปลอดภัยที่คุณต้องการในการปกป้องทรัพย์สิน บัญชี และข้อมูลของคุณ ให้บริษัทของคุณทำงานอย่างมั่นใจและไร้กังวลด้วยการป้องกันอันทรงพลังของ AuthPoint หากท่านสนใจสามารถขอทดลองใช้ได้ฟรี 30 วัน
Credit https://www.bleepingcomputer.com/
Credit https://www.watchguard.com