Skip navigation.
Home
Home » การแก้ไขปัญหาเบื้องต้น

แจ้งเตือน มัลแวร์ขุดเงินดิจิทัลระบาดผ่านลิงก์ย่อ ประเทศไทยดาวน์โหลดสูงสุด

https://www.thaicert.or.th/alerts/user/2018/al2018us002.html

ช่องทางการแพร่กระจายของมัลแวร์

การแพร่กระจายที่พบเกิดจากผู้ประสงค์ร้ายนำมัลแวร์ไปฝากไว้บนบริการฝากไฟล์บนคลาวด์ตามที่ต่างๆ และมีการใช้งานบริการย่อลิงก์ให้สั้น เช่น bit.ly ในการสร้างลิงก์สำหรับเผยแพร่มัลแวร์ ซึ่งหากเหยื่อคลิกลิงก์จะส่งผลให้ไฟล์ที่เป็นมัลแวร์ถูกดาวน์โหลดลงในเครื่อง โดยรูปแบบการเผยแพร่ อาจเกิดจากมีการแจกไฟล์ต่างๆ ที่ดึงดูดให้ผู้ใช้งานทำการดาวน์โหลดและติดตั้ง เช่น แจกซอฟต์แวร์ฟรี ซอฟต์แวร์โกงเกมส์ เป็นต้น [3] [4]

การทำงานของมัลแวร์

ผู้ประสงค์ร้ายมีการทดลองเปลี่ยนแปลงรูปแบบการเผยแพร่มัลแวร์อยู่เป็นระยะ เริ่มจากผู้ใช้งานทำการคลิกลิงก์ของผู้ประสงค์ร้าย ส่งผลให้ทำการดาวน์โหลดมัลแวร์ไปยังเครื่องผู้ใช้งาน โดยขั้นตอนการดาวน์โหลดที่ทีมนักวิจัยของ Palo Alto Networks พบนั้นมีความแตกต่างกันไปตามรุ่นของมัลแวร์ ดังนี้
แบบที่ 1

เมื่อผู้ใช้งานคลิกลิงก์ bit.ly แล้วจะทำการดาวน์โหลดไฟล์สคริปต์ประเภท VBScript ไปยังเครื่องผู้ใช้งานทันที
ไฟล์ดังกล่าวจะสั่งเครื่องมือ BITSAdmin บนระบบปฏิบัติการ Windows เพื่อดาวน์โหลดสคริปต์ที่สอง
สคริปต์ที่สองจะตรวจสอบระบบปฏิบัติการว่าเป็นเวอร์ชัน 32 หรือ 64 บิต จากนั้นจะดาวน์โหลดและติดตั้งเวอร์ชันที่เหมาะสมของ XMRig ซึ่งเป็นเครื่องมือสำหรับขุดเงิน

แบบที่ 2

คล้ายรูปแบบที่ 1 แต่เปลี่ยนรูปแบบการดาวน์โหลดสคริปต์ที่สองจากการใช้ BITSAdmin เป็นการดาวน์โหลดผ่าน HTTP

นอกจากนี้ภายหลังยังมีการเปลียนแปลงรูปแบบการเผยแพร่อย่างต่อเนื่อง เช่น มีการใช้ .Net Framework เพื่อ Compile ไฟล์ที่ใช้สำหรับเผยแพร่ลงในเครื่องผู้ใช้ ซึ่งจะสร้างสคริปต์สำหรับดาวน์โหลดมัลแวร์ต่ออีกที รายละเอียดศึกษาได้จากรายงานอ้างอิง [2]

มัลแวร์สำหรับขุดเงินที่ถูกดาวน์โหลดแล้วนั้น โดยส่วนใหญ่พบว่ามีการติดตั้งไว้ภายใต้โฟลเดอร์ย่อยชื่อ “msvc” ซึ่งอยู่ในโฟลเดอร์ “%APPDATA%” และใช้ชื่อไฟล์ “msvc.exe” “winmsvc.exe” หรือ “ondrive.exe” เป็นต้น จากนั้นเมื่อมัลแวร์เริ่มทำงานจะเรียกใช้พร็อกซี่ (XMRig proxies) ในการเชื่อมต่อไปยังเซิร์ฟเวอร์ปลายทางที่รับข้อมูลในการประมวลผลขุดเหรียญ ซึ่งการใช้พร็อกซี่ดังกล่าวทำให้ไม่สามารถตรวจสอบที่อยู่กระเป๋าเงินดิจิทัลของผู้ประสงค์ร้ายที่รับเงินจากการขุด จึงยากที่จะระบุว่าผู้ประสงค์ร้ายได้เงินจากเผยแพร่มัลแวร์ดังกล่าวมากน้อยเพียงใด

จาก ThaiCERT
https://www.thaicert.or.th/alerts/user/2018/al2018us002.html

»