- 06/03/2019
- Posted by: petcha
- Category: News
ทีมนักวิจัยจาก Varonis ได้พบการโจมตีรูปแบบใหม่ของมัลแวร์ Banking Qbot โดยเป้าหมายของการโจมตีนั้นอยู่ที่องค์กรต่างๆ ทั่วโลก ในตอนนี้มีการพบการโจมตีนี้แล้วในองค์กรต่างๆ ทั้งในยุโรป เอเชีย และแถบอเมริการใต้
ความสามารถของมัลแวร์ Banking Qbot นี้ก็คือ สามารถจดจำคีย์ (Key) ที่เรากดลงไปจาก Keyboard หรือที่เรียกกันว่า Keylogger นั่นเอง อีกทั้งยังขโมยข้อมูล credentials/cookies จากเว็บเบราว์เซอร์ และเชื่อมต่อกับกระบวนการที่กำลังดำเนินการเพื่อขอข้อมูลการ login เข้าสู่ระบบธนาคารของเหยื่อได้อีกด้วย
สำหรับวิธีการโจมตีนี้จะส่งฟิชชิ่งเมล ภายในจะมีไฟล์ zip ที่เป็นไฟล์ .doc.vbs เมื่อเหยื่อแตกไฟล์ที่แนบมา มันจะรันสคริปต์ VBS บนเครื่องของเหยื่อ จากนั้นจะใช้เครื่องมือ BITSAdmin เพื่อทำการรันโปรแกรมที่ใช้โหลดมัลแวร์
ตัวโหลดมันแวร์นี้จะมีหลากหลายเวอร์ชั่น อีกทั้งมีใบรับรองอิเล็กทรอนิกส์ (Digital Certificate) ที่แตกต่างกัน, มีการสร้าง registry value, scheduled task และ startup shortcut ลงบนเครื่องของเหยื่อ จากนั้นมันจะเปิดไฟล์ 32-bit explorer.exe เพื่อใช้ในการติดตั้งมัลแวร์ Banking Qbot
สำหรับวิธีการป้องกัน ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้ใช้ แพลตฟอร์ม unified endpoint management (UEM) ตั้งค่าความปลอดภัยเพื่อป้องการการติดตั้งมัลแวร์แบบอัตโนมัติ อีกทั้งผู้เชี่ยวชาญด้านความปลอดภัยก็ควรควรใช้ anti-phishing solution ที่ซับซ้อนมาเพื่อขึ้นเพื่อติดตามว่า มีองค์กรใดบ้างที่โดนโจมตีและใช้ AI ที่มีประสิทธิภาพเพื่อศึกษาถึงวิธีการโจมตีของมัลแมร์
ที่มา: Security Intelligence