Malware

สปายแวร์ StrongPity2 อีกหนึ่งแผนการ Man-in-the-middle ที่ผู้ให้บริการอินเตอร์เน็ตอาจมีส่วน

StrongPity และ FinFisher สปายแวร์เก่าในคราบใหม่ที่อาจมีเบื้องหลังเป็นผู้ให้บริการเครือข่ายอินเตอร์เน็ต

จากการวิเคราะห์สปายแวร์ FinFisher หรือที่รู้จักกันในชื่อ FinSpy ที่ขายให้กับหลายรัฐบาลและหน่วยงานทั่วโลก เราสังเกตเห็นว่ามัลแวร์ FinFisher ส่วนหนึ่งมีผู้ให้บริการอินเตอร์เน็ตให้ความร่วมมือเป็นคนกลาง (Man-in-the-middle) ด้วย และสับเปลี่ยนสปายแวร์เป็นตัวอื่น โปรแกรมของ ESET ตรวจจับสปายแวร์ตัวนี้ได้ในชื่อ Win32/StrongPity2 หรือสแกนเครื่องฟรีด้วย ESET Online Scanner

ทางเราได้รายงานว่าพบแผนการนี้อยู่ใน 2 ประเทศ ผู้ต้องสงสัยที่จะเป็นคนกลาง (Man-in-the-middle) ในทั้งสองกรณีก็คือผู้ให้บริการอินเตอร์เน็ต (Internet Service Provider) ซึ่งแผนการนี้ได้ยุติลงในวันที่ 21 กันยายน 2017 ไม่กี่วันหลังจากเราเผยแพร่งานวิจัยของเรา

วันที่ 8 ตุลาคม 2017 แผนการเดิมได้ปรากฎขึ้นอีกครั้งในสองประเทศเดิม ใช้กลยุทธ์ในการแพร่กระจายด้วยการเปลี่ยนเส้นทางเว็บไซต์ผ่านเบราว์เซอร์ หลอกให้ผู้ใช้ดาวน์โหลดโปรแกรมที่แฝงไวรัสโทรจันเข้าไป

เราพบหลายโปรแกรมที่มีโทรจัน Win32/StrongPity2 แฝงอยู่:

  • CCleaner v 5.34
  • Driver Booster
  • The Opera Browser
  • Skype
  • The VLC Media Player v2.2.6 (32bit)
  • WinRAR 5.50

เราพบสิ่งที่เหมือนกันระหว่าง FinFisher กับแผนการอื่นๆที่แพร่กระจาย StrongPity:

  • โค้ดบางส่วนนั้นเหมือนกัน
  • โครงสร้างบางอย่างขององค์ประกอบไฟล์นั้นใกล้เคียงกัน

Figure1-1

  • ใช้ libcurl เวอร์ชั่น 7.45 เหมือนกัน

ชนิดของไฟล์ที่ Win32/StrongPity2 ขโมย:

  • .ppt
  • .pptx
  • .xls
  • .xlsx
  • .txt
  • .doc
  • .docx
  • .pdf
  • .rtf

โฟลเดอร์ที่มัลแวร์ยกเว้น:

  • %Windows%
  • %Windows.old%
  • %AppData%
  • %Program Files%
  • %Program Files (x86)%
  • %ProgramData%

วิธีการตรวจสอบว่าระบบของคุณโดนสอดแนมโดย StrongPity หรือไม่และวิธีการป้องกัน

โปรแกรมรักษาความปลอดภัยของ ESET สามารถตรวจจับและกำจัด StrongPity ได้ หรือใช้ ESET Online Scanner เพื่อสแกนกำจัดได้แบบฟรีๆ

วิธีตรวจสอบอีกวิธีก็คือ หาไฟล์ “wmpsvn32.exe” จากโฟลเดอร์ %temp%\lang_be29c9f3-83we หรือผ่าน Path: HKCU\Software\Microsoft\Windows\CurrentVersion\Run หาชื่อ “Help Manager” ที่มาพร้อมกับ String %temp%\lang_be29c9f3-83we\wmpsvn32.exe ในช่อง Data

Figure2-768x247

ขั้นตอนการกำจัดสปายแวร์ออกจากระบบ:

  1. กำจัด Process “wmpsvn32.exe”
  2. ลบโฟลเดอร์ %temp%\lang_be29c9f3-83we และเนื้อหาทั้งหมด
  3. ลบ ‘Help Manager’ จาก Registry

ท้ายที่สุดหลังจากกำจัดสปายแวร์ออกจากเครื่องแล้ว อย่าลืมติดตั้งโปรแกรมรักษาความปลอดภัยให้กับคอมพิวเตอร์และระบบของคุณ

Screen Shot 2561-01-10 at 2.52.55 PM.png

Screen Shot 2561-01-10 at 2.53.40 PM

Screen Shot 2561-01-10 at 2.54.14 PM.png

Screen Shot 2561-01-10 at 2.54.44 PM.png

Author: FILIP KAFKA
Source:
https://www.welivesecurity.com/2017/12/08/strongpity-like-spyware-replaces-finfisher/
Translated by: Worapon H.

%d bloggers like this: