Malware

แอปฯ แจ้งวันเกิดธรรมดาๆกับความร้ายกาจ: ดึงเซิร์ฟเวอร์ DNS เพื่อแสดงโฆษณา

ลูกเล่นใหม่ๆในการหากินของแฮกเกอร์: ใส่โฆษณาผ่านแอปฯแจ้งเตือนวันเกิด

แอปพลิเคชั่นบนแพลตฟอร์ม Windows ที่เตะตา ESET ด้วยพฤติกรรมที่ผิดแปลกไปจากมัลแวร์ทั่วไป ทาง Norwegian HealthCERT ถามเราเกี่ยวกับโดเมนรูปแบบ [0-9a-f] {60}.smoke

ตัวแอปพลิเคชั่นสามารถทำงานเป็นฌปรแกรมแจ้งเตือนวันเกิดได้อย่างไม่มีปัญหาใดๆ เพียงแต่มีการทำงานเบื้องหลังที่ไม่บอกผู้ใช้ โปรแกรมมีอีกความสามารถคือการดาวน์โหลด และเปิดใช้งานส่วนประกอบที่สามารถดึงเซิร์ฟเวอร์ DNS เพื่อใส่โฆษณาลงบนเว็บเพจ ซึ่งทางเราตั้งชื่อมันว่า DNSBirthday

บอกได้ชัดเจนว่าผู้เขียนโค้ดตั้งใจที่จะออกแบบมาแบบนี้ ยกตัวอย่าง C&C เซิร์ฟเวอร์ และสิ่งประดิษฐ์ที่ชี้ไปยังโปรเจค RQZTech

reminder

การแพร่กระจาย

ทางเราพบลิงก์ดาวน์โหลดตัวติดตั้งโปรแกรม Birthday Reminder เพียงลิงก์เดียว:

hxxp://updates.rqztech.com/download?app=BirthdayReminder&aff_id=15124

การตรวจจับของ ESET แสดงถึงการแพร่กระจายของโปรแกรมนี้ทั่วโลก โดยส่วนมากจะอยู่ประเทศสหรัฐอเมริกา ตามมาด้วยสเปน และญี่ปุ่น

distribution_chart

บทสรุป

ผู้เขียนมัลแวร์ไม่ได้มีจุดประสงค์อื่นนอกจากอัดฉีดโฆษณาที่คนไม่ต้องการเท่านั้น

นอกจากนี้ผู้เขียนยังใช้วิธีหลีกเลี่ยงการตรวจจับด้วยการใช้ Portable Execution loader และถอดรหัสในหน่วยความจำ เพื่อทำให้โปรแกรมสามารถอัพเดตและเพิ่มส่วนประกอบอื่นๆได้

เราพบความเป็นไปได้ในมัลแวร์ตัวนี้ที่อาจนำไปใช้ในทางอื่นที่เรายังไม่พบ อย่างเช่นการส่ง Spyware เข้ามาสอดแนมคอมพิวเตอร์ของเรา

Author: MARC-ETIENNE M.LÉVEILLÉ
Source:
https://www.welivesecurity.com/2017/06/22/got-birthday-reminder/
Translated by: Worapon H.

%d bloggers like this: