ถ้าคุณคิดว่า ใช้ Linux หรือ MacOS แล้วจะไม่มีวันติดไวรัส แต่ถ้าคุณอ่านบทความนี้คุณอาจจะต้องเปลี่ยนความคิดนั้นทันที!! เพราะสัปดาห์ที่ผ่านมาได้มีรายงานจาก EEF (The Electronic Frontier Foundation) /Lookout บริษัทรักษาความปลอดภัยบนมือถือว่ามีกลุ่มภัยคุกคามขั้นสูง (APT) ที่เรียกว่า Dark Caracal เป็นกลุ่ม Hacker โจรกรรมข้อมูลมืถือระดับโลกกำลังนิยมใช้มัลแวร์ชนิดที่ไม่สามารถตรวจจับได้ โดยมุ่งเป้าหมายไปที่ระบบปฎิบัติการ Windows, MacOS และ Linux
ในรายงานบอกว่าส่วนใหญ่การแฮ็กจะเกิดขึ้นในมือถือมากกว่าเครื่องคอมพิวเตอร์ แต่ทว่าตอนนี้กลุ่ม Dark Caracal ได้พัฒนา CrossRAT (version 0.1) ให้เป็น Remote access Trojan (โปรแกรมที่สร้างไวรัส) โดยมีเป้าหมาย คือ ระบบปฎิบัติการ Windows, Solaris, MacOS และ Linux CrossRAT (version 0.1) จะช่วยให้ Hacker สามารถจัดการระบบไฟล์ จับภาพหน้าจอ รันไฟล์ .exe อัตโนมัติ และทำให้ระบบติดเชื้อ
วิธีการของ Hacker Dark Caracal นั้นจะไม่ได้ใช้วิธีการโจมตีแบบ Zero-day เพื่อแพร่กระจายมัลแวร์ แต่จะใช้วิธีการง่ายๆ ทาง Social engineering ผ่านการโพสบน Facebook และ WhatsApp messages เมื่อผู้ใช้เข้าสู่เว็บที่ Hacker สร้างขึ้นมาและดาวน์โหลดแอปพลิเคชั่นที่เป็นอันตราย CrossRAT จะเขียนโปรแกรมด้วย Java ทำให้นักวิจัยถอดรหัสไฟล์ และ reverse engineers (แกะโค้ดโปรแกรม) ได้อย่างง่ายๆ
Patrick Wardle อดีต NSA Hacker (สำนักงานความมั่นคงแห่งชาติ National Security Agency) ได้ทำการวิเคราะห์มัลแวร์ และอธิบายถึงภาพรวมถึงเทคนิค ประกอบด้วย กลไกการทำงาน ความสามารถ และการควบคุมการสื่อสาร ของ CrossRAT 0.1 ว่า เมื่อ CrossRAT อยู่บนเครื่องเป้าหมายแล้ว มันจะฝัง (hmar6.jar) เพื่อตรวจระบบปฏิบัติการที่ใช้อยู่ จากนั้นจะทำการติดตั้งตัวมันเอง CrossRAT ยังพยายามที่จะเข้าถึงข้อมูลที่เกี่ยวกับระบบไวรัส ไม่ว่าจะเป็นการติดตั้ง OS Version ทำไฟล์ติดเชื้อทั้งใน kernel และ architecture อีกด้วย เมื่อ CrossRAT ได้ดำเนินการฝัง OS ที่มีลักษณะพิเศษเฉพาะก็จะทำการรันอัตโนมัติอีกครั้ง
เมื่อใดก็ตาม หากระบบที่ติดเชื้อนั้นทำการรีบูต มันจะลงทะเบียนตัวเองไปยัง C&C Server (Command and Control Server) ทำให้ Hacker สามารถส่งคำสั่ง และ exfiltrate ข้อมูลได้
นอกจากนี้ในระบบ Linux CrossRAT ยังพยายามที่จะเข้าถึงข้อมูลที่เกี่ยวกับระบบไวรัส เพื่อทำการกระจาย เช่น Arch Linux, Centos, Debian, Kali Linux, Fedora, Linux Mint, และอื่นๆ อีกด้วย
จากรายงานของนักวิจัย Lookout กล่าวว่า การแพร่กระจายของ CrossRAT โดยกลุ่ม Hacker Dark Caracal ได้เชื่อมต่อผ่าน ‘flexberry (dot) com’ บนพอร์ต 2223 ซึ่งเป็นข้อมูลแบบตายตัวอยู่ในไฟล์ ‘crossrat / k.class’
CrossRAT นั้นยังออกแบบมาพร้อมกับความสามารถในการควบคุมพื้นฐาน ซึ่งจะทำงานก็ต่อเมื่อได้รับคำสั่งจากเครื่อง C&C Server มากระตุ้นเท่านั้น แต่สิ่งที่น่าสนใจก็คือ CrossRAT ได้ถูกตั้งโปรแกรมมาให้ใช้ ‘jnativehook’ ซึ่งเป็น Java library แบบ open-source เพื่อใช้ฟังการกระทำของ คีย์บอร์ด และเม้าส์ ซึ่ง CrossRAT นั้นไม่มีการตั้งคำสั่งเปิดการใช้งาน keylogger เลย
ทาง Patrick กล่าวว่า “ไม่เห็นโค้ดทีฝังไว้อ้างถึง ‘jnativehook’ เลย นั่นหมายถึงว่า ฟังก์ชันนี้จะไม่เป็นอันตรายใช่หรือไม่? ซึ่งจะต้องมีคำอธิบายที่ดีเกี่ยวกับเรื่องนี้ตามที่เขียนไว้ในรายงานบอกว่า CrossRAT เป็นมัลแวร์ version 0.1 แสดงว่ามันยังคงอยู่ในกระบวนการผลิต ดังนั้นฟีเจอร์จึงยังไม่สมบูรณ์”
วิธีตรวจสอบว่าติดไวรัส CrossRAT หรือไม่?
เนื่องจาก CrossRAT มี OS ที่มีลักษณะพิเศษเฉพาะดังนั้นการตรวจจับ CrossRAT นั้นจะขึ้นอยู่กับระบบปฏิบัติการที่ใช้
- สำหรับ Windows:
ให้ตรวจสอบ registry key ‘HKCU\Software\Microsoft\Windows\CurrentVersion\Run\’
ถ้าติดไวรัส CrossRAT จะมี java, -jar และ mediamgrs.jar อยู่ในคำสั่ง - สำหรับ macOS:
ตรวจสอบไฟล์ jar, mediamgrs.jar ใน ~ / Library
จากนั้นหาตัวเปิด / Library / LaunchAgents หรือ ~ / Library / LaunchAgents ที่ชื่อว่า mediamgrs.plist
ทาง Patrick ได้กล่าวว่า ผู้ใช้ Mac ส่วนใหญ่อาจจะปลอดภัยจากมัลแวร์ CrossRAT เพราะว่า CrossRAT นั้นเขียนด้วย Java แต่ MacOS เวอร์ชันล่าสุดนั้นไม่ได้มาพร้อมกับ Java - สำหรับ Linux:
ตรวจสอบไฟล์ jar, mediamgrs.jar ใน / usr / var
ให้มองหาไฟล์ ‘autostart’ ในไฟล์ ~ / .config / autostart ที่มีชื่อว่า mediamgrs.desktop
วิธีการป้องกัน CrossRAT Trojan
ในตอนนี้พบว่ามีโปรแกรม antivirus เพียง 2 โปรแกรมเท่านั้นที่ตรวจพบ CrossRAT ดังนั้นแทบจะไม่มีทางป้องกันมัลแวร์ CrossRAT นี้ได้เลย Patrick แนะนำว่าผู้ใช้ควรติดตั้ง Software เพื่อป้องกัน ซึ่ง ผู้ใช้ Mac ควรติดตั้ง Utility BlockBlock ที่พัฒนาโดย Patrick ซึ่งจะมีการแจ้งเตือนทุกครั้งเมื่อผู้ใช้มีการติดตั้งอะไรก็ตาม
ที่มา : The Hacker News
