เว็บไซต์ zdnet.com รายงานเมื่อ 4 พ.ค.64 ว่า นักวิจัยในทีม Mandiant ของบริษัท FireEye ของสหรัฐฯ ซึ่งให้บริการรักษาความปลอดภัยทางไซเบอร์ เผยแพร่รายงานชื่อ UNC2529 ระบุว่า ตรวจพบมัลแวร์สายพันธุ์ใหม่สามตระกูลที่ถูกใช้อย่างแพร่หลายในอาชญากรรมทางการเงิน ได้แก่ Doubledrag, Doubledrop และ Doubleback เมื่อ ธ.ค.63 ที่ผ่านมา โดยแฮกเกอร์จะแฝงมัลแวร์เหล่านี้ส่งแนบไปกับอีเมลหลอกลวง (Phishing) ซึ่งองค์กรต่าง ๆ ในสหรัฐฯ และทั่วโลกกำลังตกเป็นเป้าหมายของการโจมตี
Mandiant ระบุว่า ข้อความ Phishing ที่แฮกเกอร์ส่งไปหาเหยื่อมักใช้ที่อยู่อีเมลที่แตกต่างกันและกำหนดเรื่องราวให้เหมาะสมกับแต่ละเป้าหมาย ซึ่งหลายกรณีแฮกเกอร์จะปลอมตัวเป็นบุคคลระดับผู้บริหารและเสนอบริการที่เหมาะสมกับอุตสาหกรรมด้านต่าง ๆ เช่น ด้านการแพทย์ การขนส่ง การทหาร และอุตสาหกรรมอิเล็กทรอนิกส์ ทั้งนี้ พบว่ามีการใช้โดเมนมากกว่า 50 โดเมน (domain) เพื่อจัดการ Phishing ทั่วโลก และหนึ่งในการโจมตีที่ประสบความสำเร็จคือการโจมตีโดเมนที่เป็นของบริษัทให้บริการทำความร้อนและความเย็นในสหรัฐฯ โดยแฮกเกอร์ได้แก้ไขระเบียนระบบที่ใช้เก็บข้อมูลชื่อโดเมน (DNS) และยังใช้โครงสร้างลักษณะนี้โจมตีแบบ Phishing กับองค์กรอื่นอีกอย่างน้อย 22 แห่ง
แฮกเกอร์จะส่งอีเมลที่มีเนื้อหาล่อลวงโดยแนบลิงก์ URL เพื่อให้เหยื่อดาวน์โหลดไฟล์เอกสาร .PDF หรือไฟล์ JavaScript ที่อยู่ในไฟล์ .zip ที่ไฟล์มีปัญหาไม่สามารถอ่านได้ ซึ่งเหยื่ออาจรู้สึกรำคาญและดับเบิลคลิกที่ไฟล์เพื่อพยายามอ่านเนื้อหา หรือบางครั้งอาจแฝงมัลแวร์มากับไฟล์ Excel ซึ่งเมื่อระบบดำเนินการแล้ว Doubledrag จะพยายามดาวน์โหลด Dropper และเข้าสู่ห่วงโซ่การโจมตี Doubledrop เป็นสคริปต์ PowerShell ที่ซับซ้อนซึ่งออกแบบมาเพื่อติดตั้งในเครื่องคอมพิวเตอร์ที่ติดไวรัสและจะดาวน์โหลด Backdoor ลงในหน่วยความจำ ซึ่งเป็นส่วนประกอบสุดท้ายของมัลแวร์ Doubleback ซึ่งมีเพียงตัวดาวน์โหลดเท่านั้นที่มีอยู่ในระบบไฟล์ส่วนประกอบที่เหลือจะถูกจัดลำดับไว้ในฐานข้อมูลรีจิสทรี (Registry) ซึ่งทำให้การตรวจจับค่อนข้างยาก
ที่มา : https://www.zdnet.com/article/researchers-find-three-new-malware-families-used-in-global-finance-phishing-campaign/
