พบมัลแวร์แบบ Malvertising ที่ทำหน้าที่เป็นทั้ง Ransomware กับ Info-Stealing

นักวิจัยจากเว็บ Fumik0 ได้พบมัลแวร์แบบ Malvertising ตัวนี้เมื่อประเดือนธันวาคมที่ผ่านมามัลแวร์ตัวนี้มีชื่อว่า “Vidar” (เป็นชื่อลูกของชายของโอดิน เทพเจ้าในตำนาน) เป็นมัลแวร์ที่ใช้เพื่อขโมยข้อมูลจากระบบ หรือที่เรียกกันว่า info-stealer

มัลแวร์ Vidar จะถูกส่งผ่าน Fallout exploit kit ก่อน จากนั้นจะส่ง Ransomware ที่ชื่อว่า “GandCrab” ซึ่งเป็น มัลแวร์แบบ Malvertising ตามไป

โดยมัลแวร์ Vidar นี้จะขโมยข้อมูลจากจาก documents, cookies และประวัติการใช้งานบนเบราว์เซอร์ รวมไปถึงเบราว์เซอร์ของ Tor (เป็นบริการที่ดำเนินงานโดยอาสาสมัคร โดยให้ความเป็นส่วนตัวและไม่เปิดเผยชื่อออนไลน์ ซึ่งจะไม่แสดงข้อมูลว่าคุณคือใครและเชื่อมต่อจากที่ไหน นอกจากนี้ บริการนี้ ยังปกปิดข้อมูลของคุณจากเครื่องข่ายของ Tor ด้วยกันเองอีกด้วย), สกุลเงินดิจิตัล, ข้อมูล 2FA (Two-factor authentication-กระบวนการยืนยันตัวตนแบบ 2 ขั้นตอน) และข้อความ ยิ่งไปกว่านั้น มัลแวร์ตัวนี้ยังสามารถจับภาพหน้าจอได้ (screenshort)

มัลแวร์ Vidar นี้ยังมีระบบแจ้งเตือนสำหรับ logs ที่สำคัญๆ ไปยังผู้ที่ใช้มัลแวร์ตัวนี้ อีกทั้ง Hacker ยังสามารถระบุประเภทของข้อมูลที่ต้องการขโมยได้

Jérôme Segura นักวิจัยจาก Malwarebytes ได้อธิบายถึงวิธีการทำงานของมัลแวร์ Vidar โดย มัลแวร์ Vidar จะค้นหาข้อมูลที่แฮกเกอร์ระบุไว้ในการตั้งค่าการค้นหาและจะส่งกลับไปยังเซิร์ฟเวอร์ command-and-control (C2) ผ่านทางคำสั่ง HTTP POST ที่ไม่มีการเข้ารหัส ข้อมูลที่ถูกส่งกลับไปนั้นจะเป็นรายละเอียดของข้อมูลระบบระดับสูง ซึ่งเป็น สเปค, กระบวนการที่กำลังทำงานอยู่ และแอพพลิเคชั่นที่ติดตั้งลงไป ข้อมูลที่เกี่ยวกับผู้ใช้ ได้แก่ IP Adddress, ประเทศ เมือง หรือ ISP (Internet Service Provider-ผู้ให้บริการอินเตอร์เนต)โดยจะเก็บไว้ในไฟล์ที่ชื่อว่า “information.txt” ภายในไฟล์นี้จะมีข้อมูลอื่นๆ ที่ขโมยมา จากนั้นจำทำการ zip ไฟล์ก่อนที่จะส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ C2

เมื่อกระบวนการนี้เสร็จสิ้น หากมีการกำหนดค่าให้เพิ่ม URL ไปยัง payload ในส่วนควบคุมของมัลแวร์ Vidar มันจะใช้คุณสมบัติ loader feature ทำการโหลด Ransomware GandCrab ลงบนเครื่องผู้ใช้ทันที ไฟล์บนเครื่องผู้ใช้จะถูกเข้ารหัส และหน้าจอวอลเปเปอร์จะแสดงข้อความ GandCrab เวอร์ชั่น 5.04 โดยเวลาที่ใช้ตั้งแต่โดนมัลแวร์ Vidar จนถึงกระบวนการสุดท้าย ใช้เวลาเพียงแค่ 1 นาทีเท่านั้น!


ที่มาภาพ: MalwareBytes Lab

แต่อย่างไรก็ตามหากไม่ได้มีการกำหนดให้ให้เพิ่ม URL ไปยัง payload ในส่วนควบคุมของมัลแวร์ Vidar เซิร์ฟเวอร์จะส่งการตอบกลับเป็น “ok” แทนที่จะเป็น “URL” แทน สำหรับรายละเอียดทั้งหมดเกี่ยวกับมัลแวร์ Vidar สามารถดูได้ที่ Fumik0

สำหรับวิธีการป้องกัน Mike Bittner ผู้จัดการความปลอดภัยดิจิทัลและผู้จัดการฝ่ายปฏิบัติการของ The Media Trust ได้เสนอว่า ให้หลีกเลี่ยงการเข้าเว็บที่สนับสนุนโฆษณาจาก third-party และควรตรวจสอบให้แน่ใจว่าเว็บที่เข้าชมนั้นไม่มีโฆษณาที่มีโค้ดที่เป็นอันตรายจาก third-party เพราะโค้ดโฆษณาที่อยู่บนเว็บมีเป็นร้อยเป็นพันจาก third-party ที่ไม่รู้จัก และมีการเปลี่ยนแปลงอยู่ตลอดเวลา ดังนั้นจึงควรสแกนเว็บ และโฆษณาเพื่อที่จะได้รู้ที่มาที่ไปของโค้ดโฆษณาและเว็บนั้น และถ้าจำเป็นจริงๆ อาจจะต้องยกเลิกการเชื่อมต่อโค้ดที่ได้เข้ารหัสจากแหล่งที่มา

ส่วนทาง Fumik0 ได้เสนอว่าวิธีการป้องกันดังนี้

  1. เมื่อใช้งานเครื่องคอมพิวเตอร์ (VM) อย่าลืมติดตั้งโปรแกรมต่างๆ ให้เชื่อมต่อกับ hypervisor เช่น เครื่องมือ Guest Addons เพื่อให้ Anti-VM ตรวจหาและปิดมัลแวร์ทุกประเภท
  2. เมื่อใช้งานเสร็จแล้วให้ปิด VM ทันที จากนั้นทำการ restore เฉพาะ snapshot ที่ clean แล้ว
  3. หลีกเลี่ยงการจัดเก็บไฟล์ด้วยเส้นทางที่ถูกกำหนดไว้แล้ว เช่น Desktop, Documents และ Downloads ให้เก็บไว้ในที่อื่นแทน
  4. อย่าคลิก crack บนยูทูบ หรือโปรแกรม Hack เกมที่กำลังฮิต หรือ ข้อความที่บอกว่า “รับเงินง่ายๆ” เช่น ฟรีโปรแกรม Bitcoin หรือ facepalm เป็นต้น
  5. ล้างประวัติการเข้าชมเว็บบนเบราว์เซอร์ทุกครั้ง อย่าบันทึกรหัสผ่านบนเบราว์เซอร์โดยตรง หรือใช้ส่วนเสริม auto-fill รหัสผ่านผ่าน
  6. อย่าใช้รหัสผ่านเดียวกับทุกๆ เว็บ และใช้การยืนยันตัวตนแบบ 2 ขั้นตอน

ที่มา: Threat Post, MalwareBytes Lab, Fumik0