Malware Uncategories

Nemucod กลับมาแล้วแต่ไม่ได้มาในโปรเจค Ransomware

Trojan Downloader Nemucod กลับมาแล้วกับโปรเจคใหม่ที่เปลี่ยนกระบวนการเข้าถึงเหยื่อ เพราะในตอนนี้โปรแกรมเรียกค่าไถ่หรือ Ransomware ไม่ได้เป็นเพียงแค่มัลแวร์แต่เป็น “ทางเลือกของอาชญากรไซเบอร์” สำหรับเจ้า Nemucod นี้ทาง ESET สามารถตรวจจับได้ในชื่อว่า Win32/Kovter ซึ่งมีคุณสมบัติเพื่อเพิ่มการคลิกบนโฆษณา

โทรจันตัวนี้มีความสามารถควบคุมคอมพิวเตอร์ของเหยื่อจากระยะไกลหรือ Remote Control โดยไม่ให้เหยื่อรู้ตัว แต่ละสายพันธุ์ของมันมีกิจกรรมหลักที่ต่างออกไปเช่น 1.ดาวน์โหลดและเปิดใช้ไฟล์ 2. เก็บรวบรวมข้อมูลและส่งไปยังแฮกเกอร์ผ่านเซิร์ฟเวอร์ C&C 3. ฝังตัวมันเองลงบน Windows Regristry entries 4. ควบคุม “click-function”

จากการวิเคราะห์พฤติกรรม มัลแวร์ตัวนี้จะเพิ่มโอกาสคลิกโฆษณาบนเบราว์เซอร์ที่มันฝังตัวอยู่ โดยโทรจันตัวนี้สามารถใช้งานโฆษณาได้มากถึง 30 แบบ ในแต่ละเว็บไซต์

จำนวนรูปแบบเกิดจากคำสั่งของผู้ควบคุม Kovter จะเฝ้าดูการใช้ CPU และหน่วยความจำ เพื่อไม่ให้โทรจันถูกตรวจจับได้หากทำงานมากเกินไป

Graph-Kovter-768x500

แล้วเมื่อไหร่ที่คอมพิวเตอร์ไม่ได้ทำงาน มัลแวร์จะสามารถทำงานได้มากขึ้นเนื่องจากมีหน่วยความจำที่ไม่ได้ใช้งานมากยิ่งขึ้นจนกระทั่งผู้ใช้เปิดโปรแกรมต่างๆนอกจากนั้น Kovter ยังสามารถตรวจสอบระบบของคอมพิวเตอร์ที่ติดไวรัส และรายงานต่อผู้ควบคุม

ส่วนวิธีแพร่กระจายของ Kovter ผู้โจมตีใช้ไฟล์ที่แปรสภาพเป็น ZIP และระบุเนื้อหาปลอมที่หลอกให้ผู้ใช้เปิดดู โดยข้างในบรรจุไฟล์ JavaScript

เทคนิคนี้ใช้เพื่อหลีกเลี่ยงการตรวจจับโดย Mail Scanner และเข้าถึงเหยื่อให้มากที่สุด และเมื่อใดที่ผู้ใช้เปิดไฟล์ดังกล่าวคอมพิวเตอร์ของผู้ใช้ก็จะติดไวรัสโดยทันที

วิธีหลีกเลี่ยงภัยนี้

  • ถ้าหากเซิร์ฟเวอร์อีเมล์มีฟังก์ชันกรอง เราขอให้แนะนำให้ปิดกั้นไฟล์ต่อไปนี้ *.EXE, *.BAT, *.CMD, *.SCR และ *.JS
  • ตั้งค่าให้วินโดว์แสดงนามสกุลไฟล์เพื่อให้ทราบชื่อจริงของไฟล์อย่างเช่น INVOICE.PDF.EXE ไม่ใช่ INVOICE.PDF
  • ในกรณีที่คุณจำเป็นต้องรับ หรือส่งไฟล์ดังกล่าวผู้ใช้จะต้องระมัดระวัง อ่านให้ละเอียด และเพื่อความมั่นใจให้สแกนไฟล์ในอีเมล์ด้วยโปรแกรมรักษาความปลอดภัยที่น่าเชื่อถือ
%d bloggers like this: