25 พ.ย. เวลา 03:23 • ไอที & แก็ดเจ็ต

นักวิจัยพบ Malware Loader ตัวใหม่ที่สามารถหลบเลี่ยงแทบทุกระบบความปลอดภัย

นักวิจัยด้านความมั่นคงปลอดภัยทางไซเบอร์ได้เปิดเผยข้อมูลเกี่ยวกับ Malware Loader แบบล่องหนตัวใหม่ชื่อ BabbleLoader ซึ่งถูกตรวจพบในโลกไซเบอร์ว่ามีการใช้งานเพื่อส่งมัลแวร์ประเภทขโมยข้อมูล เช่น WhiteSnake และ Meduza ไปยังเป้าหมาย โดยมัลแวร์ประเภท Stealer เหล่านี้มุ่งเน้นไปที่การขโมยข้อมูลที่สำคัญ เช่น ข้อมูลประจำตัว ข้อมูลการเข้าสู่ระบบ และข้อมูลอื่น ๆ ที่เก็บไว้ในเครื่องของผู้ใช้
ตามรายงานที่เผยแพร่เมื่อวันอาทิตย์โดย Ryan Robinson นักวิจัยด้านความปลอดภัยจาก Intezer
ระบุว่า “BabbleLoader เป็น Malware Loader ที่มีความสามารถในการหลีกเลี่ยงการตรวจจับสูงมาก ซึ่งมาพร้อมด้วยกลไกป้องกันตัวเองที่ซับซ้อน ถูกออกแบบมาเพื่อหลบเลี่ยงโปรแกรมป้องกันไวรัสและ Sandbox เพื่อส่งมัลแวร์ประเภทขโมยข้อมูลเข้าสู่หน่วยความจำ”
อีกทั้งนักวิจัยยังพบว่า Malware Loader ตัวนี้ถูกใช้ในแคมเปญต่าง ๆ มากมาย โดยทำการกำหนดเป้าหมายไปยังผู้ที่ใช้ภาษาอังกฤษและรัสเซียโดยเฉพาะ ผู้ที่ค้นหาซอฟต์แวร์เถื่อนทั่วไปรวมถึงกลุ่มอาชีพในสาขาการเงินและการบริหาร โดยหลอกลวงให้เชื่อว่าเป็นซอฟต์แวร์ด้านการบัญชี
การปรากฏตัวของ BabbleLoader และ ปรากฏการณ์ Domino Effect
BabbleLoader ได้กลายเป็นวิธีที่ใช้แพร่กระจายมัลแวร์มากขึ้นเรื่อย ๆ เช่น มัลแวร์ประเภทขโมยข้อมูล (Stealers) หรือแรนซัมแวร์ (Ransomware) โดยมักทำหน้าที่เป็นขั้นตอนแรกในห่วงโซ่การโจมตี (Attack Chain) ซึ่งสามารถหลบเลี่ยงการตรวจจับของโปรแกรมป้องกันไวรัสแบบดั้งเดิมได้ ด้วยการใช้ฟีเจอร์ต่อต้านการวิเคราะห์ (Anti-analysis) และการหลบเลี่ยงสภาพแวดล้อมจำลอง (Anti-sandboxing) ที่หลากหลาย
ความสามารถของ BabbleLoader
สิ่งที่ทำให้ BabbleLoader โดดเด่นคือการรวมเอาเทคนิคการหลบเลี่ยงหลากหลายรูปแบบที่สามารถหลอกลวงทั้งระบบตรวจจับแบบดั้งเดิมและแบบ AI ได้ โดยใช้โค้ดขยะ (Junk Code) และการเปลี่ยนแปลงโครงสร้าง เพื่อหลีกเลี่ยงการตรวจจับทั้งจากการอิงตาม Signature-based และพฤติกรรม (Behavioral Detection)
นอกจากนี้ยังสามารถหลีกเลี่ยงระบบการวิเคราะห์แบบ Static Analysis โดยจะเรียกใช้ฟังก์ชันที่จำเป็นเฉพาะเมื่อรันจริงเท่านั้น พร้อมทั้งป้องกันการวิเคราะห์ในสภาพแวดล้อมจำลองแบบ Sandbox การเพิ่มโค้ดที่ไม่มีความหมายจำนวนมากยังทำให้เครื่องมือวิเคราะห์ เช่น IDA, Ghidra, และ Binary Ninja เกิดปัญหาขัดข้อง ทำให้นักวิเคราะห์ต้องดำเนินการตรวจสอบด้วยตนเอง โดย Malware Loader มีหน้าที่หลักในการโหลด Shell Code ซึ่งจะนำไปสู่โค้ดที่ถอดรหัสแล้ว พร้อมกับใช้ Donut Loader เพื่อแกะและรันมัลแวร์ประเภทขโมยข้อมูลต่อไป
ยิ่ง Malware Loader มีความสามารถในการป้องกันมัลแวร์หลักจากการถูกตรวจจับได้ดี ผู้โจมตีจะไม่ต้องเสียเวลาและทรัพยากรในการเปลี่ยนโครงสร้างพื้นฐานที่ใช้โจมตี (เช่น เซิร์ฟเวอร์หรือเครื่องมือที่ใช้ในการโจมตี) ซึ่งช่วยให้พวกเขาสามารถดำเนินการโจมตีได้ต่อเนื่องและยาวนานขึ้น ขณะเดียวกัน BabbleLoader ถูกออกแบบมาเพื่อหลีกเลี่ยงการตรวจจับจากระบบรักษาความปลอดภัยต่าง ๆ มากที่สุดเท่าที่จะทำได้ เพื่อเป็นผู้นำในตลาด Malware Loader/ Crypter ที่มีการแข่งขันสูง
จุดกำเนิดของ BabbleLoader และการขยายผลสู่ Malware Loader อื่น ๆ
การพัฒนานี้เกิดขึ้นพร้อมกับที่ Rapid7 รายงานถึงแคมเปญมัลแวร์ใหม่ที่แพร่กระจาย LodaRAT เวอร์ชันใหม่ ซึ่งสามารถขโมยคุกกี้และรหัสผ่านจากเบราว์เซอร์ Microsoft Edge และ Brave นอกจากนี้ยังสามารถรวบรวมข้อมูลที่ละเอียดอ่อนทุกประเภท ส่งมัลแวร์เพิ่มเติม และให้สิทธิ์การควบคุมระยะไกลกับเครื่องที่ถูกโจมตี โดย LodaRAT เริ่มดำเนินการตั้งแต่เดือนกันยายน 2016
บริษัทความมั่นคงปลอดภัยทางไซเบอร์กล่าวเสริมว่า “มีการตรวจพบเวอร์ชันใหม่ที่ถูกแจกจ่ายโดย Donut Loader และ Cobalt Strike และ พบ LodaRAT บนระบบที่ติดมัลแวร์อื่นๆ เช่น AsyncRAT, Remcos, XWorm เป็นต้น” อย่างไรก็ตาม การตรวจสอบความสัมพันธ์ระหว่างการแพร่กระจายมัลแวร์เหล่านี้ยังคงไม่ชัดเจน
นอกจากนี้ยังตามมาด้วยการค้นพบ Mr.Skeleton RAT ซึ่งเป็นมัลแวร์ใหม่ที่พัฒนาขึ้นจาก njRAT โดยถูกโฆษณาบนตลาดใต้ดินทางไซเบอร์ และมาพร้อมกับฟังก์ชันการทำงานสำหรับ การเข้าถึงและดำเนินการบนเดสก์ท็อประยะไกล, การจัดการไฟล์/โฟลเดอร์และรีจิสทรี, การรันคำสั่งเชลล์จากระยะไกล, การบันทึกการกดแป้นพิมพ์ (Keylogging), รวมถึงการควบคุมกล้องของอุปกรณ์จากระยะไกลอีกด้วย
จากการค้นพบและการพัฒนาเหล่านี้ แสดงให้เห็นถึงความซับซ้อนและความสามารถในการหลบเลี่ยงการตรวจจับที่เพิ่มขึ้นของมัลแวร์ในปัจจุบัน ทำให้การป้องกันและการตรวจจับการโจมตีจากภัยคุกคามไซเบอร์ยิ่งท้าทายมากขึ้น การใช้เทคนิคต่าง ๆ เพื่อปกป้องระบบจากการโจมตีเหล่านี้จึงเป็นสิ่งที่สำคัญมากในยุคปัจจุบัน
นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS
Your Trusted Cybersecurity Partner
ติดต่อสอบถามหรือปรึกษาเราได้ที่ :
Bay Computing Public Co., Ltd
Tel: 02-115-9956
#BAYCOMS #YourTrustedCybersecurityPartner #Cybersecurity
โฆษณา