Thaiware Shop
จำหน่าย จัดหา ซอฟต์แวร์ลิขสิทธิ์ สำหรับองค์กร ฯลฯ
เมื่อวันที่ 25 มีนาคม ค.ศ. 2022 (พ.ศ. 2565) นักวิจัยด้านความปลอดภัยบนโลกไซเบอร์จาก Trend Micro บริษัทซอฟต์แวร์ความปลอดภัยทางไซเบอร์ข้ามชาติของประเทศญี่ปุ่น ได้เผยแพร่รายงานการโจมตีของ "Purple Fox" มัลแวร์อันตรายที่ได้มีการอัปเกรดตัวเองให้มีอันตรายมากยิ่งขึ้น
ใน Purple Fox เวอร์ชันใหม่ ทางแฮกเกอร์ได้ปรับปรุงตัวมัลแวร์เปลี่ยนมันเป็น FatalRAT โทรจันที่สามารถโจมตีจากระยะไกลผ่านอินเทอร์เน็ตได้ และเพิ่มคุณสมบัติในการ "Bypass" ซอฟต์แวร์รักษาความปลอดภัยได้ สำหรับช่องทางในการโจมตี FatalRAT จะปลอมแปลงตัวเองเป็นแพ็คเกจติดตั้งโปรแกรม (Application installers) ของโปรแกรมต่าง ๆ หากผู้ใช้หลงเชื่อเผลอดาวน์โหลดไฟล์ดังกล่าวมาใช้งาน ก็จะถูกโจมตีในทันที
นักวิจัยด้านความปลอดภัยจาก Minerva Labs เผยว่าการโจมตีของ FatalRAT มีรูปแบบการโจมตีที่คล้ายคลึงกับเหตุการณ์ที่เพิ่งเกิดขึ้นไปเมื่อไม่นานมานี้ ที่แฮกเกอร์ใช้แอปพลิเคชัน Telegram เป็นช่องทางในการแพร่กระจายแพ็คเกจติดตั้งโปรแกรมที่มีมัลแวร์แฝงตัวเอาไว้
FatalRAT ถูกเขียนขึ้นด้วยภาษา C++ ออกแบบมาให้สามารถรันคำสั่ง และคัดกรองข้อมูลสำคัญของผู้ใช้ส่งกลับไปยังเซิร์ฟเวอร์ระยะไกลได้ เพื่อให้ตัวมันสามารถอัปเดตคุณสมบัติใหม่ได้ตลอดเวลา
การโจมตีของ FatalRAT จะมีขั้นตอนเริ่มจากการใช้แพ็คเกจติดตั้งโปรแกรมเป็นเครื่องมือในการดาวน์โหลดมัลแวร์ หลังจากที่มัลแวร์ถูกติดตั้งลงในระบบเรียบร้อยแล้ว มันจะเชื่อมต่อไปยังเซิร์ฟเวอร์ของแฮกเกอร์เพื่อยิง Payload เพื่อดาวน์โหลดโมดูลจาก FatalRAT มาติดตั้ง โดยตัวโมดูลจะมีอยู่หลายรูปแบบ เปลี่ยนแปลงไปตามซอฟต์แวร์ป้องกันไวรัสที่มีอยู่ในเครื่องของผู้ใช้
ภาพจาก https://thehackernews.com/2022/03/purple-fox-hackers-spotted-using-new.html
นอกจากนี้ Purple Fox ยังมาพร้อมกับโมดูล Rootkit ที่รองรับคำสั่งที่แตกต่างกัน เพื่อใช้ในการคัดลอก และลบไฟล์ใน Kernel รวมไปถึงหลบหลีกการตรวจจับจากเครื่องมือสแกนไว้รัสต่าง ๆ ด้วยการดักจับข้อมูลที่ถูกส่งไปให้ระบบ
สำหรับรายชื่อของโปรแกรมที่ Purple Fox ได้มีการปลอมแปลงเป็นตัวติดตั้งจะมีรายการดังต่อไปนี้
| รายละเอียดตัวติดตั้ง | ชื่อไฟล์ | วันที่เผยแพร่ |
| Telegram Installer | Textinputh.exe | 2021-12-08 |
| 360BDoctor software | 客户账单明细j.exe | 2021-10-17 |
| PPHelper Tool for Windows to Jailbreak iDevices | pphelper5.exe | 2021-12-01 |
| Vmware KVM | 极品新茶上线到付服务项目以及联系方式r.exe | 2021-09-13 |
| Screen Recorder Pro | Apowersoft.Screen Recorder Pro3.exe | 2022-01-02 |
| Network Scanner | zenmap.exe | 2022-01-18 |
| chrome_pwa_launcher | x.exe | 2022-01-22 |
| Whatsapp installer | whatsappsetupr.exe | 2022-01-28 |
| Proxifier Proxy Client | 奇迹娱乐12月总账单z.exe) | 2022-01-06 |
| Adobe flash installer | flashc.exe | 2022-02-07 |
| Micro Focus Net Express | mfcss.exe | 2022-02-19 |
| QuickQ Installer | QuickQr.exe | 2022-02-21 |
ในขณะนี้ แม้จะมีรายงานการค้นพบ และรูปแบบการโจมตีของมัลแวร์ตัวนี้แล้ว แต่การโจมตียังคงมีอยู่เหมือนเดิม และแฮกเกอร์ก็พยายามที่จะอัปเดตตัวมันเองเพื่อต่อต้านการตรวจพบอยู่ตลอดเวลา
ความคิดเห็น (0)