แอปพลิเคชั่นบนแพลตฟอร์ม Windows ที่เตะตา ESET ด้วยพฤติกรรมที่ผิดแปลกไปจากมัลแวร์ทั่วไป ทาง Norwegian HealthCERT ถามเราเกี่ยวกับโดเมนรูปแบบ [0-9a-f] {60}.smoke
ตัวแอปพลิเคชั่นสามารถทำงานเป็นฌปรแกรมแจ้งเตือนวันเกิดได้อย่างไม่มีปัญหาใดๆ เพียงแต่มีการทำงานเบื้องหลังที่ไม่บอกผู้ใช้ โปรแกรมมีอีกความสามารถคือการดาวน์โหลด และเปิดใช้งานส่วนประกอบที่สามารถดึงเซิร์ฟเวอร์ DNS เพื่อใส่โฆษณาลงบนเว็บเพจ ซึ่งทางเราตั้งชื่อมันว่า DNSBirthday
บอกได้ชัดเจนว่าผู้เขียนโค้ดตั้งใจที่จะออกแบบมาแบบนี้ ยกตัวอย่าง C&C เซิร์ฟเวอร์ และสิ่งประดิษฐ์ที่ชี้ไปยังโปรเจค RQZTech
การแพร่กระจาย
ทางเราพบลิงก์ดาวน์โหลดตัวติดตั้งโปรแกรม Birthday Reminder เพียงลิงก์เดียว:
hxxp://updates.rqztech.com/download?app=BirthdayReminder&aff_id=15124
การตรวจจับของ ESET แสดงถึงการแพร่กระจายของโปรแกรมนี้ทั่วโลก โดยส่วนมากจะอยู่ประเทศสหรัฐอเมริกา ตามมาด้วยสเปน และญี่ปุ่น
บทสรุป
ผู้เขียนมัลแวร์ไม่ได้มีจุดประสงค์อื่นนอกจากอัดฉีดโฆษณาที่คนไม่ต้องการเท่านั้น
นอกจากนี้ผู้เขียนยังใช้วิธีหลีกเลี่ยงการตรวจจับด้วยการใช้ Portable Execution loader และถอดรหัสในหน่วยความจำ เพื่อทำให้โปรแกรมสามารถอัพเดตและเพิ่มส่วนประกอบอื่นๆได้
เราพบความเป็นไปได้ในมัลแวร์ตัวนี้ที่อาจนำไปใช้ในทางอื่นที่เรายังไม่พบ อย่างเช่นการส่ง Spyware เข้ามาสอดแนมคอมพิวเตอร์ของเรา
Author: MARC-ETIENNE M.LÉVEILLÉ
Source: https://www.welivesecurity.com/2017/06/22/got-birthday-reminder/
Translated by: Worapon H.
WeLiveSecurity Thai Edition's 
แอปพลิเคชั่นบนแพลตฟอร์ม Windows ที่เตะตา ESET ด้วยพฤติกรรมที่ผิดแปลกไปจากมัลแวร์ทั่วไป ทาง Norwegian HealthCERT ถามเราเกี่ยวกับโดเมนรูปแบบ [0-9a-f] {60}.smoke
ตัวแอปพลิเคชั่นสามารถทำงานเป็นฌปรแกรมแจ้งเตือนวันเกิดได้อย่างไม่มีปัญหาใดๆ เพียงแต่มีการทำงานเบื้องหลังที่ไม่บอกผู้ใช้ โปรแกรมมีอีกความสามารถคือการดาวน์โหลด และเปิดใช้งานส่วนประกอบที่สามารถดึงเซิร์ฟเวอร์ DNS เพื่อใส่โฆษณาลงบนเว็บเพจ ซึ่งทางเราตั้งชื่อมันว่า DNSBirthday
บอกได้ชัดเจนว่าผู้เขียนโค้ดตั้งใจที่จะออกแบบมาแบบนี้ ยกตัวอย่าง C&C เซิร์ฟเวอร์ และสิ่งประดิษฐ์ที่ชี้ไปยังโปรเจค RQZTech
การแพร่กระจาย
ทางเราพบลิงก์ดาวน์โหลดตัวติดตั้งโปรแกรม Birthday Reminder เพียงลิงก์เดียว:
hxxp://updates.rqztech.com/download?app=BirthdayReminder&aff_id=15124
การตรวจจับของ ESET แสดงถึงการแพร่กระจายของโปรแกรมนี้ทั่วโลก โดยส่วนมากจะอยู่ประเทศสหรัฐอเมริกา ตามมาด้วยสเปน และญี่ปุ่น
บทสรุป
ผู้เขียนมัลแวร์ไม่ได้มีจุดประสงค์อื่นนอกจากอัดฉีดโฆษณาที่คนไม่ต้องการเท่านั้น
นอกจากนี้ผู้เขียนยังใช้วิธีหลีกเลี่ยงการตรวจจับด้วยการใช้ Portable Execution loader และถอดรหัสในหน่วยความจำ เพื่อทำให้โปรแกรมสามารถอัพเดตและเพิ่มส่วนประกอบอื่นๆได้
เราพบความเป็นไปได้ในมัลแวร์ตัวนี้ที่อาจนำไปใช้ในทางอื่นที่เรายังไม่พบ อย่างเช่นการส่ง Spyware เข้ามาสอดแนมคอมพิวเตอร์ของเรา
Author: MARC-ETIENNE M.LÉVEILLÉ
Source: https://www.welivesecurity.com/2017/06/22/got-birthday-reminder/
Translated by: Worapon H.
แบ่งปันสิ่งนี้: