Month: มีนาคม 2026

อุปกรณ์ที่ใช้ระบบปฏิบัติการแบบ Android เรียกได้ว่าเป็นของที่คู่กับมัลแวร์มาแต่ไหนแต่ไร และเลี่ยงได้ยากเนื่องจากเป็นระบบเปิดที่ใคร ๆ ก็สามารถพัฒนาแอปพลิเคชันได้ง่ายกว่าคู่แข่งอย่าง iOS จาก Apple ทำให้มีมัลแวร์มากขึ้นไปตามตัว และนี่ก็เป็นมัลแวร์ตัวใหม่อีกตัวที่ต้องระวัง

จากรายงานโดยเว็บไซต์ Hackread ได้กล่าวถึงการตรวจพบมัลแวร์ประเภทเข้าควบคุมเครื่องจากระยะไกล หรือ RAT (Remote Access Trojan) ตัวใหม่ที่มุ่งเล่นงานกลุ่มผู้ใช้งานอุปกรณ์ที่ใช้ระบบปฏิบัติการ Android ชื่อว่า Oblivion ถูกวางขายอยู่ในตลาดมืดในรูปแบบมัลแวร์สำหรับเช่าใช้งาน หรือ MaaS (Malware-as-a-Service) ในราคา 300 ดอลลาร์สหรัฐ (9,551.70 บาท) ต่อเดือน นอกจากนั้นยังมีการขายแบบแพคเกจอื่น ๆ ด้วย อย่าง

• ตลอดชีพในราคา 2,200 ดอลลาร์สหรัฐ (70,051.30 บาท)
• 6 เดือน ที่ราคา 1,300 ดอลลาร์สหรัฐ (41,393.95 บาท)
• 3 เดือน ที่ราคา 700 ดอลลาร์สหรัฐ (22,290.45  บาท)

ซึ่งสิ่งที่น่ากังวลใจคือ มัลแวร์ตัวนี้ไม่ได้ถูกวางขายในอินเทอร์เน็ตมืด หรือ Dark Web แต่เป็นการวางขายบนเว็บไซต์ปกติอย่างโจ่งครึ่ม ทำให้ผู้ใช้งานที่มี URL เว็บไซต์ที่ถูกต้องก็สามารถเข้าไปซื้อมาใช้งานได้ทันที นอกจากนั้นตัวมัลแวร์ยังถูกออกแบบมาให้ใช้งานได้ง่าย แม้แต่ในกลุ่มผู้ใช้งานมือใหม่อีกด้วย โดยทางผู้จัดจำหน่ายได้โอ้อวดว่า มัลแวร์ตัวนี้ถูกทดสอบมาอย่างยาวนานถึง 4 เดือนก่อนการวางจำหน่าย และยืนยันได้ว่าระบบการตรวจจับพฤติกรรมมัลแวร์ หรือ Behavioural Detection ไม่สามารถตรวจจับมัลแวร์ตัวนี้ได้อย่างแน่นอน ทั้งยังมีเครื่องมือสำหรับการสร้างแอปปลอม หรือ APK Builder เพื่อใช้สร้างตัวติดตั้งเลียนแบบแอปพลิเคชันของทาง Google อย่าง Google Services ได้ในการคลิ๊กแค่ไม่กี่คลิ๊ก นอกจากนั้นในส่วนของระบบควบคุมมัลแวร์นั้นยังสามารถรองรับการจัดการเหยื่อได้มากสุดถึง 1,000 รายในครั้งเดียวอีกด้วย

โดยการทำงานของมัลแวร์ตัวนี้จะรองรับการทำงานบน Android ตั้งแต่รุ่นที่ 8 จนถึงรุ่น 16 ซึ่งเป็นรุ่นล่าสุด ทั้งยังสามารถฝ่าระบบป้องกันของ Android เวอร์ชันเฉพาะตัวของโทรศัพท์มือถือแบรนด์ดังต่าง ๆ มากมาย เช่น

• HyperOS และ MIUI ของ Xiaomi
• ColorOS ของ OPPO
• MagicOS ของ Honor
• One UI ของ Samsung
• OxygenOS ของ OnePlus

ซึ่งการทำงานของมัลแวร์นั้น หลังจากที่เหยื่อทำการติดแอปพลิเคชันปลอมซึ่งทำงานในรูปแบบมัลแวร์นกต่อ หรือ Loader ที่ถูกสร้างตามขั้นตอนที่กล่าวไว้ข้างต้นลงไป แทนที่จะแสดงหน้าจอเด้ง หรือ Pop Up แบบมัลแวร์ตัวอื่น ๆ กลับใช้วิธีการที่เนียนกว่านั้น นั่นคือ การแจ้งเตือนว่า Google Play (แอปพลิเคชันสำหรับใช้งานแอปสโตร์อย่างเป็นทางการของ Android) มีการอัปเดตให้กดเพื่อติดตั้ง ซึ่งถ้าเหยื่อกดอัปเดต แทนที่จะเป็นการอัปเดตตัว Google Play จริง ๆ กลับเป็นการมอบสิทธิ์ในการเข้าสู่ระบบ (Permission) แบบเต็มรูปแบบให้กับมัลแวร์ รวมถึงความสามารถในการเข้าใช้งานโหมดช่วยเหลือผู้ใช้งานที่พิการ หรือ Accessibility Mode แบบเบ็ดเสร็จ

ภาพจาก : https://hackread.com/android-malware-oblivion-fake-updates-hijack-phones/

หลังจากที่มัลแวร์ได้รับสิทธิ์อย่างเบ็ดเสร็จแล้ว ก็จะเริ่มทำการขโมยข้อมูลต่าง ๆ เช่น ข้อความในกล่องข้อความสั้น (SMS หรือ Short Message Service) เพื่อค้นหา และขโมยรหัสเข้าใช้งานบริการธนาคาร รวมทั้งใช้งานเครื่องมือตรวจจับการพิมพ์ของเหยื่อ (Keylogger) เพื่อขโมยรหัสผ่าน และเลข PIN (รวมถึงรหัส PIN ปลดล็อกหน้าจอ) ไม่เพียงเท่านั้น แฮกเกอร์ยังสามารถสั่งการปลดล็อกเครื่องจากระยะไกลหลังจากที่เหยื่อรีสตาร์ทเครื่องได้อีกด้วย

ต้นฉบับ :news.thaiware.com

ที่มา :hackread.com

มัลแวร์ประเภทขโมยข้อมูลจากเครื่องของเหยื่อ หรือ Infostealer นั้นเรียกได้ว่าเป็นมัลแวร์ตัวหนึ่งที่กำลังเป็นที่นิยมในกลุ่มแฮกเกอร์ในยุคปัจจุบันที่มีการพัฒนาออกมามากมายหลายตัว และก่อความเสียหายในรูปแบบของข้อมูลรั่วไหลได้อย่างร้ายแรงมากจนมีชุดรหัสผ่านถูกขโมยด้วยมัลแวร์ประเภทนี้นับพันล้านชุด และนี่ก็เป็นอีกหนึ่งมัลแวร์ตัวใหม่ที่ผู้ใช้งานระบบปฏิบัติการ Windows ต้องระวัง

จากรายงานโดยเว็บไซต์ Cyberpress ได้กล่าวถึงการตรวจพบมัลแวร์ประเภท Infostealer ตัวใหม่ที่มีชื่อว่า Socelars โดยมัลแวร์ดังกล่าวนี้จะมุ่งเน้นการโจมตีไปยังกลุ่มผู้ใช้งาน Windows เป็นหลัก ด้วยจุดประสงค์ในการขโมยข้อมูล Session การเข้าใช้งาน บนเว็บเบราว์เซอร์เพื่อที่จะได้เข้าใช้งานบัญชีออนไลน์ (Online Account) โดยที่ไม่มีความจำเป็นต้องใช้รหัสผ่านเพื่อล็อกอิน ซึ่งเป้าหมายหลัก ๆ ที่ตัวมัลแวร์ต้องการขโมยนั้นจะเป็นข้อมูลการเข้าใช้งานบัญชีโฆษณาบน Facebook (Facebook Ads Manager) เพื่อที่จะนำเอาบัญชีของเหยื่อไปใช้ในการยิงโฆษณาหลอกลวง, ลักลอบขโมยเงินที่เติมไว้บนบัญชี หรืออาจจะนำเอาการเข้าใช้งาน (Access) ไปขายต่อให้กับแฮกเกอร์กลุ่มอื่นเพื่อทำกำไร

ในด้านการทำงานของมัลแวร์นั้น ทางทีมวิจัยจาก AnyRun บริษัทผู้พัฒนาเครื่องมือต่อต้านมัลแวร์ ได้เปิดเผยว่า ตัวมัลแวร์นั้นจะสมอ้างตัวเองเป็นซอฟต์แวร์สำหรับการอ่านไฟล์เอกสารสกุล PDF เช่น “PDFreader” โดยถ้าเหยื่อได้เผลอติดตั้งซอฟต์แวร์ปลอมดังกล่าว แทนที่จะเป็นการติดตั้งซอฟต์แวร์ที่ใช้ได้ตามปกติ ตัวซอฟต์แวร์ปลอมกลับทำการสร้างโฟลเดอร์ชื่อว่า “pdfreader2019” แล้วเริ่มทำการขโมยข้อมูลบนเครื่องในทันที ด้วยการเริ่มโจมตีเว็บเบราว์เซอร์บนเครื่อง เช่น Chrome และ Firefox เพื่ออ่านไฟล์ต่าง ๆ ที่เกี่ยวข้องกับ Cookies อาทิ เช่น ฐานข้อมูล (Database) Cookies SQLite เพื่อดึงข้อมูล Session Cookies, Access Token, และ ข้อมูลระบุตัวผู้ใช้งาน (Identifier) เพื่อที่จะเข้าใช้งานบัญชีออนไลน์โดยไม่ต้องล็อกอิน หลังจากนั้นตัวมัลแวร์ก็จะทำการใช้ข้อมูลที่ขโมยมาได้ เข้าขโมยข้อมูลต่าง ๆ ที่อยู่บนบัญชีโฆษณา Facebook อีกที โดยครอบคลุมตั้งแต่ หมายเลขผู้ใช้บริการ (Account ID), การจำกัดการใช้จ่ายงบ (Spending Limits), อีเมล, ข้อมูลเพจ และวิธีการจ่ายเงิน (Payment Methods) ที่เหยื่อใช้งานอยู่ เช่น Paypal และ บัตรเครดิต เป็นต้น

ภาพจาก : https://cyberpress.org/socelars-malware-attacking-windows/

สำหรับในส่วนการทำงานเชิงเทคนิคของมัลแวร์นั้น ทางทีมวิจัยเผยว่า ตัวมัลแวร์จะเริ่มต้นด้วยการสำรวจลาดเลาของระบบ (System Reconnaissance) และ ตรวจสอบสภาพแวดล้อม (Environment) ของตัวระบบ ตามมาด้วยการเพิ่มสิทธิ์ในการเข้าใช้งานระบบ (System Privilege) แบบเล็ดลอดการถูกตรวจสอบโดยระบบป้องกัน User Account Control (UAC) ด้วยการใช้งานเทคนิค COM Auto-Elevation ซึ่งจะช่วยให้ตัวมัลแวร์สามารถอัปเกรดสิทธิ์โดยอัตโนมัติได้ผ่านทาง cmlua.dll และ ICMLuaUtil หลังจากนั้นตัวมัลแวร์ก็จะทำการสร้าง Mutex ชื่อ “patatoes” เพื่อป้องกันการรันตัวเองซ้ำซ้อน 2 รอบขึ้นมา แล้วจึงทำการติดต่อกับ URL ชื่อว่า iplogger[.]org เพื่อใช้ในการตรวจสอบ (Tracking) หมายเลข IP แล้วจึงทำให้ตัวเองค้าง (Crash) ให้คล้ายคลึงกับตัวแอปพลิเคชันทำงานล้มเหลว เพื่อหลอกลวงระบบตรวจสอบของเหยื่อ และทำงานตามขั้นตอนที่กล่าวมาข้างต้น

ทางทีมวิจัยยังได้แนะนำวิธีการตรวจสอบและป้องกันมัลแวร์ดังกล่าวมาด้วยดังนี้

• หลีกเลี่ยงการใช้งานแอปพลิเคชันแปลก ๆ เช่น “PDFreader” โดยให้ใช้งานเครื่องมือจากนักพัฒนาที่มีชื่อเสียงอย่าง Adobe หรือ Foxit แทน
• ใช้นโยบาย (Policy) ในการเข้าถึงไฟล์ที่เกี่ยวข้องกับ Cookies อย่างเข้มงวดที่สุด รวมทั้งใช้เครื่องมือจัดการอุปกรณ์ปลายทาง (Endpoints) เพื่อจับตาการ
• ปิดระบบอัปเกรดสิทธิ์อัตโนมัติของ UAC และสแกนหา Mutex ชื่อว่า “patatoes” 
• ใช้งานระบบสภาพแวดล้อมจำลอง หรือ Sandbox เพื่อตรวจสอบไฟล์ต้องสงสัยก่อนเปิดใช้งานทุกครั้ง
• อัปเดตแพทช์บน Windows และ เว็บเบราว์เซอร์อย่างสม่ำเสมอเพื่ออุดรอยรั่ว เพิ่มความปลอดภัยให้กับระบบ

ต้นฉบับ :news.thaiware.com

ที่มา :cyberpress.org