พบมัลแวร์ BLADABINDI ทำให้แฮกเกอร์สามารถขโมยข้อมูลจากเว็บได้

นักวิจัยจาก Trend Micro ได้ออกมาเปิดเผยเกี่ยวกับการค้นพบมัลแวร์ที่ชื่อว่า BLADABINDI แฮกเกอร์จะใช้ประโยชน์จากมัลแวร์ตัวนี้ทำการรันไฟล์ที่อันตราย และขโมยข้อมูลจากเว็บได้

มัลแวร์ BLADABINDI หรือที่เรียกอีกอย่างหนึ่งว่า njRAT/Njw0rm มัลแวร์ตัวนี้ประกอบด้วยโค้ดที่ใช้โจมตีแบบ backdoor มากมาย สคริปต์ของมันนั้นใช้งานง่าย และสามารถทำการปรับแต่งได้

มัลแวร์นี้จะใช้ AutoIt (เป็นคำสั่งที่ใช้ในการติดตั้งไฟล์) ในการคอมไพล์เพื่อใช้ในการส่ง จากนั้นจะทำการรวมสคริปต์หลักเป็นไฟล์เดียว ซึ่งทำให้สามารถส่งไฟล์เพื่อทำการโจมตีแบบ backdoor ทำให้ยากต่อการดักจับได้

จากการสังเกตของนักวิจัยพบว่า มัลแวร์หรือวอร์มนี้จะแพร่กระจายผ่านทาง removable drives ที่ไม่ต้องใช้ไฟล์ในการติดตั้ง การโจมตีแบบ backdoor ส่งและรับข้อมูลจากเซิร์ฟเวอร์ (command and control server)
ในตอนนี้ยังไม่ชัดเจนว่าระบบติดมัลแวร์นี้ได้อย่างไร สำหรับรายละเอียดทางเทคนิคทั้งหมดสามารถดูได้ที่ Trend Micro blog

สิ่งที่บอกว่าเป็นมัลแวร์
SHA 256 :

  • c46a631f0bc82d8c2d46e9d8634cc50242987fa7749cac097439298d1d0c1d6e
  • 25bc108a683d25a77efcac89b45f0478d9ddd281a9a2fb1f55fc6992a93aa830

C&C Server:

  • water-boom.duckdns.org

ข้อเสนอแนะ:

  1. อัปเดตแอพพลิเคชั่นและระบบปฏิบัติการให้เป็นแพทช์ปัจจุบัน
  2. อัปเดตโปรแกรมแอนติไวรัสให้เป็นปัจจุบัน
  3. บล็อก IP หรือ URL บน IoCs ที่ไฟร์วอลล์ บล็อก IDS, web gateways, routers หรืออุปกรณ์อื่นๆ ที่เกี่ยวข้อง
  4. จำกัด และตั้งระบบรักษาความปลอดภัยในการใช้งานอุปกรณ์ที่ใช้เก็บหรืออ่านข้อมูล หรือฟังก์ชันของ USB หรืออุปกรณ์อื่นๆ เช่น PowerShell
  5. ตรวจสอบ gateway, endpoints, networks, และ servers ว่ามีพฤติกรรม หรือการทำงานที่ผิดปกติหรือไม่ เช่น การติดต่อสื่อสารแบบ C&C และการขโมยข้อมูล เป็นต้น

ที่มา: IBM X-Force Exchange, Trend Micro blog