พบการแพร่กระจาย Ransomware “Nemty” จากเว็บ PayPal ปลอม

นักวิจัยด้านความปลอดภัย nao_sec ได้พบการแพร่ระบาด Ransomware ที่ใช้ชื่อว่า “Nemty” จากเว็บไซต์ PayPal ปลอม

แฮกเกอร์จะสร้างหน้าเว็บ PayPal ปลอมพร้อมทั้งฝังมัลแวร์ตัวนี้ลงไปในหน้าเว็บ เพจปลอมนี้จะแสดงข้อความแจ้งว่าจะทำการคืนเงิน 3-5% ของจำนวนที่ซื้อผ่านระบบการชำระเงินของ PayPal

โดยแฮกเกอร์จะสร้างหน้าเว็บปลอมซึ่งใช้ชื่อโดเมนด้วยตัวอักษร Unicode ต่างๆ เมื่อเบราว์เซอร์มีจะแปลงเป็น Punycode โดยอัตโนมัติ อย่างเช่น ภาษา Punycode ‘xn--ayal-f6dc.com’ แต่เมื่อเบราว์เซอร์แปลงเป็น Unicode จะได้เป็นคำว่า paypal.com

เป้าหมายของ Ransomware นี้อยู๋ที่โปรแกรมที่มีการยกเลิกใช้แล้ว อย่างเช่น Internet Explorer หรือ Flash Player เป็นต้น

ทาง nao_sec ได้ทำการทดสอบโดยใช้ AnyRun test เพื่อติดตามดูการทำงานของมัลแวร์ชนิดนี้ พบว่า มันใช้เวลาประมาณ 7 นาที ก่อนที่มันจะถอดรหัสไฟล์ เพื่อเข้าไปยังโฮสต์ของเหยื่อ แต่อย่างไรก็ตาม การเข้ารหัสของมัลแวร์ชนิดนี้จะแตกต่างกันไปตามระบบ

โชคดีว่ามัลแวร์ชนิดนี้ยังสามารถตรวจพบได้จากโปรแกรมป้องกันไวรัส โดยจากการทดสอบมีโปรแกรมป้องกันไวรัส 36 โปรแกรมจาก 68 โปรแกรมที่ตรวจพบ Ransomware “Nemty” ได้ รายละเอียดสามารถดูได้ที่ VirusTotal

นักวิจัยด้านความปลอดภัย Vitali Kremez ได้ทำการวิเคราะห์ Nemty พบว่าเวอร์ชั่นของมันในตอนนี้อยู่ที่ 1.4 ซ฿งจริงๆ แล้ว Ransomeware นี้มีมาได้สักพักหนึ่งแล้ว และทาง Vitali ได้เคยทำการเผยแพร่เกี่ยวกับการค้นพบนี้แล้ว

ทั้งนี้และทั้งนั้น ผู้ใช้ควรตรวจสอบ URL ให้ดีว่าถูกต้องหรือไม่ หากพบว่า URL น่าสงสัยให้หลีกเลี่ยงเพื่อเป็นการป้องกัน

ที่มา: Bleeping Computer