พบ TrickBot ตัวใหม่ ใช้ Macro ของโปรแกรม Word โจมตีผู้ใช้งานระบบปฏิบัติการ Windows 10

โดยปกติแล้ว ในแวดวงซอฟต์แวร์ เรามักจะได้ยินคำแนะนำว่าควรอัปเดตเป็นเวอร์ชันล่าสุดอย่างสม่ำเสมอ เพื่อปิดรูรั่วที่ถูกค้นพบแล้ว อย่างไรก็ตาม ในขณะเดียวกันการอัปเดตไม่ได้มีแค่การปิดช่องโหว่เท่านั้น มันยังมีการเพิ่มคุณสมบัติใหม่ๆ เข้ามาด้วย ปัญหาก็คือ ความสามารถใหม่ที่ถูกเพิ่มเข้ามานั้น อาจจะกลายเป็นช่องโหว่ใหม่ได้ด้วยเช่นกัน

ล่าสุดมีการค้นพบการโจมตีรูปแบบใหม่ของ Trickbot โดยแฮกเกอร์ใช้ช่องทางยอดนิยมในอดีตอย่างฟังก์ชัน Macro ของ Microsoft Word ที่เป็นที่นิยมอย่างมากในยุค ค.ศ. 1995 มาปรับปรุงใหม่ให้เข้ากับยุคสมัยปัจจุบัน

ในระบบปฏิบัติการ Windows 10 มีฟังก์ชันใหม่ที่เรียกว่า Remote desktop ActiveX แฮกเกอร์ได้ใช้ฟังก์ชันดังกล่าวในการควบคุม Ostap ที่เป็น Malware downloader ซึ่งแฝงตัวมากับ VBA macro และ JScript ของเอกสารที่มีมาโครอยู่ (Macro-enabled document (.DOCM)) แฮกเกอร์ได้สร้างไฟล์เอกสารส่งไปทางอีเมลไปหาเหยื่อ โดยระบุว่าเป็นใบเสร็จเรียกเก็บเงิน หากเหยื่อหลงเชื่อคลิกเปิดใช้งาน Macro ในไฟล์ดังกล่าว มันจะเริ่มยิง Payload เพื่อโจมตีในทันที

รูปแบบการโจมตีของ Trickbot จะเป็นการ Hijacks เว็บเบราว์เซอร์ และเปลี่ยนแปลงการแสดงผลของเว็บไซต์เพื่อดักเอาข้อมูลส่วนตัวที่สำคัญอย่างชื่อบัญชี และรหัสผ่าน รวมไปถึงข้อมูลบัตรเครดิต แล้วส่งกลับไปยังเซิร์ฟเวอร์ของแฮกเกอร์