เคยสงสัยกันหรือไม่ว่ากระดานเทรดคริปโตโดนแฮกได้อย่างไร ? ซึ่งมัลแวร์ตัวใหม่ที่สร้างโดยกลุ่มแฮกเกอร์ชาวเกาหลีเหนืออาจเปิดเผยถึงสิ่งที่เกิดขึ้นจากการโจมตีดังกล่าว
มัลแวร์ตัวใหม่นี้ทำงานภายใต้ซอฟต์แวร์การซื้อขายคริปโตแบบ Client Side (การประมวลผลทางฝั่ง Browser ภาษาที่ใช้ก็เช่น javascript) ที่เรียกว่า “JTM Trading Software” และดูเหมือนว่าจะถูกสร้างขึ้นโดยกลุ่ม Lazarus APT ชาวเกาหลีเหนือ ซึ่งมัลแวร์เหล่านี้จะถูกแจกจ่ายไปให้กับผู้ที่ตกเป็นเหยื่อทางอีเมล์
เพื่อให้การดำเนินการดังกล่าวดูสมจริงมากขึ้น ผู้ที่อยู่เบื้องหลังมัลแวร์ได้ทำการเปลี่ยนแปลงรายละเอียดซอฟต์แวร์และชื่อของบริษัทเป็น “Celas Trade Pro” และพัฒนาเว็บไซต์ที่ดูน่าเชื่อถือมากขึ้น รวมถึงโปรไฟล์บน GitHub เพื่อช่วยลดความสงสัยเกี่ยวกับซอฟต์แวร์ให้น้อยลง
โทรจันตัวเก่าที่นำมาประยุกต์ใช้ใหม่
หลังจากที่เหยื่อติดตั้งแอปพลิเคชัน สคริปต์จะดำเนินการติดตั้งช่องโหว่ลับ ๆ ไว้บนระบบของผู้ใช้ ช่องโหว่นี้จะถูกเรียกใช้ทุกครั้งที่มีการรีสตาร์ทคอมพิวเตอร์เพื่อให้แน่ใจว่ามันยังคงทำงานอยู่เบื้องหลัง
สิ่งที่ช่องโหว่ทำนั้นก็คือการอนุญาตให้แฮกเกอร์เข้าถึงเครื่องของเหยื่อได้จากระยะไกล (remote) โดยการรันคำสั่ง shell commands ที่ซ่อนอยู่ในเครื่องของเหยื่อ ซึ่งทำให้แฮกเกอร์ง่ายต่อการกรองข้อมูล (Data exfiltration) ของเหยื่อและส่งไปยังเซิร์ฟเวอร์ระยะไกลได้อย่างง่ายดาย นอกจากนี้แฮกเกอร์ยังสามารถติดตั้งมัลแวร์เพิ่มเติมเข้าไปในเครื่องของเหยื่อได้อีกด้วย
อ้างอิงจากรายงานของ Objective-See ที่เผยว่า มัลแวร์ตัวนี้ถูกสร้างขึ้นบนโค้ดของช่องโหว่ที่ไม่สามารถตรวจพบได้ในช่วงก่อนหน้านี้และมีแนวโน้มว่ามันได้ถูกสร้างขึ้นโดยทีมมัลแวร์ชาวเกาหลีเหนือที่รู้จักกันดีในชื่อ Lazarus
“ความสามารถในการดำเนินการจากระยะไกลนั่นช่วยทำให้แฮกเกอร์สามารถควบคุมระบบ macOS ที่ติดไวรัสได้!” กล่ายโดยนาย Patrick Wardle นักวิจัยด้านความปลอดภัย
สิ่งที่กังวลมากที่สุดโดยเฉพาะอย่างยิ่งกับซอฟต์แวร์ JTM Trading นั่นก็คือ มัลแวร์ดังกล่าวไม่สามารถตรวจพบได้อย่างสมบูรณ์จนกระทั่งถึงทุกวันนี้ โดยโปรแกรมป้องกันไวรัสยอดนิยมอย่าง VirusTotal เผยว่าโปรแกรม antivirus ทั้งหมด 2 ใน 3 ที่ใช้กันอยู่ในปัจจุบันยังคงไม่สามารถตรวจพบพฤติกรรมที่เป็นอันตรายสำหรับมัลแวร์ตัวนี้ได้
ผู้ใช้ macOS กำลังตกเป็นเป้าหมาย
มันเป็นเรื่องยากที่จะตรวจพบมัลแวร์ดังกล่าว เพราะมันมีเป้าหมายเฉพาะกับอุปกรณ์ที่ใช้ macOS เท่านั้น ซึ่งเป็นหนึ่งในระบบปฏิบัติการที่ปลอดภัยที่สุดที่ใช้กันอยู่ในปัจจุบัน
อย่างไรก็ตามเนื่องจากระบบซอฟต์แวร์ของทาง Apple รับรองว่าผู้ใช้ macOS จะสามารถติดตั้งแอพได้อย่างง่ายดายจากนักพัฒนาที่เชื่อถือได้หรือทำการยืนยันด้วยตนเองว่าพวกเขาต้องการเปิดแอปที่ไม่น่าเชื่อถือที่มีกระบวนการหลายขั้นตอนหรือไม่
เพื่อหลีกเลี่ยงปัญหาเหล่านี้ผู้ให้บริการซอฟต์แวร์ MacOS จะต้องเข้าร่วมโปรแกรมของ Apple Developer Program หรือ Apple Developer Enterprise Program ก่อน ซึ่งจะช่วยให้พวกเขาได้รับใบรับรอง Developer ID และลงทะเบียนซอฟต์แวร์ของพวกเขาก่อนที่จะส่งมันให้กับ Apple เพื่อทำการรับรองเอกสาร อย่างไรก็ตามบริษัทปลอมที่เผยแพร่ซอฟต์แวร์ไวรัสส่วนใหญ่จะล้มเหลวในการขอรับใบรับรอง Developer ID ซึ่งหมายความว่ามัลแวร์ที่ถูกส่งไปยังเป้าหมายจะต้องติดตั้งด้วยตนเองเท่านั้น
เช่นเดียวกับมัลแวร์รุ่นก่อน ๆ ที่ดูเหมือนว่าจะกำหนดเป้าหมายไปยังผู้ที่มีสิทธิ์เข้าถึงส่วนหลังบ้านของกระดานเทรดคริปโต โดยหลังจากที่เหยื่อมีการติดตั้งมัลแวร์ตัวดังกล่าวแล้ว แฮกเกอร์จะทำการขโมย private keys และรายละเอียดการเข้าถึงข้อมูล เพื่อใช้เป็นช่องทางในการดูดเงินจากกระดานเทรดนั้น ๆ
อย่างไรก็ตามดูเหมือนว่าในเวลานี้ยังไม่มีกระดานเทรดคริปโตไหนรายงานว่าถูกโจมตีจากมัลแวร์ตัวดังกล่าว ซึ่งเราก็คงต้องติดตามดูกันต่อไป
ที่มา : beincrypto
กดคลิกเพื่อแสดงความเห็น