พบมัลแวร์ตัวใหม่ ‘Nodersok’ โจมตีเหยื่อแล้วหลายพันราย

ข่าวสารไวรัส วงการไอที
ที่บอร์ดนี้

พบมัลแวร์ตัวใหม่ ‘Nodersok’ โจมตีเหยื่อแล้วหลายพันราย

โพสต์โดย KasamaKP » ศุกร์ 27 ก.ย. 2019 9:49 pm

มีรายงานจาก Microsoft ว่าพบความเคลื่อนไหวของมัลแวร์ตัวใหม่ที่ชื่อ ‘Nodersok’ ซึ่งความน่าสนใจคือมีการใช้เทคนิคหลากหลาย เช่น multi-stage infection, living-off-the-land และ Fileless นอกจากนี้มีรายงานจากฝั่งของ Cisco Talos ด้วยที่อ้างถึงมัลแวร์ตัวเดียวกันแต่ใช้ชื่อว่า ‘Divergent’

รูปภาพ
credit : Microsoft

จากภาพสรุปการโจมตีด้านบน Nodersok ถือเป็นมัลแวร์ที่มีความน่าสนใจโดยจะเห็นได้ว่าเป็นการโจมตีแบบ Multi-stage infection ซึ่งเริ่มแรกจะแพร่มาทางโฆษณาอันตรายในหน้าเว็บหรือลิงก์อันตรายที่ทำให้ผู้ใช้โหลดไฟล์ HTA(HTML Appliaction) เข้ามา จากนั้นโค้ด JavaScript ที่อยู่ใน HTA จะไปดาวน์โหลดส่วนประกอบอื่นๆ คือ XSL และ JavaScript ขั้นถัดมาจะมีการไปรันคำสั่ง PowerShell ที่ถูก Encode ในรูปแบบของ deadbeef และสุดท้ายนำไปสู่ผลลัพธ์ดังนี้

พยายาม Disable โปรแกรม Windows Defender Antivirus และ Windows Update
พยายามใช้ Binary Shellcode เพื่อยกระดับสิทธิ์
ใช้ Windivert ที่เป็นไลบรารี่ดักจับแพ็กเก็ต
ใช้ JavaScript โมดูลที่เขียนใน Node.js เพื่อเปลี่ยนเครื่องให้เป็น Proxy
สำหรับจุดที่น่าสังเกตตรงนี้คือเทคนิค Living-off-the-land ที่มีการใช้ PowerShell และการใช้งาน Node.js Framework และ Windivert ที่ปกติแล้วก็ไม่ได้ถือเป็นเครื่องมือโจมตีอะไร นอกจากนี้ผู้เชี่ยวชาญยังให้ความเห็นว่า “ทุกฟังก์ชันที่เกิดขึ้นของ Script และ Shellcode มักจะมาในรูปแบบของการเข้ารหัส ถอดรหัส และรันในหน่วยความจำเท่านั้น ไม่มีส่วนไหนเลยที่ถูกเขียนบนดิสก์”

อีกประเด็นคือยังมีความเห็นแตกต่างกันเล็กน้อยในมุมของ Cisco และ Microsoft ที่ฝ่ายแรกชี้ว่ามัลแวร์ได้ใช้ Proxy เพื่อทำการ Click-fraud แต่ฝ่ายหลังชี้ว่าใช้ Proxy เพื่อ Relay ทราฟฟิคอันตราย อย่างไรก็ตามขึ้นชื่อว่ามัลแวร์คงไม่ดีแน่ที่จะรับเข้าไป ซึ่งปัจจุบันพบว่ามีเหยื่อในการโจมตีครั้งนี้แล้วกว่าหลายพันรายในแถบยุโรปและอเมริกา

ที่มา : https://www.zdnet.com/article/microsoft ... ds-of-pcs/ และ https://www.bleepingcomputer.com/news/s ... ifies-pcs/
ที่มา : https://www.techtalkthai.com/found-new- ... -nodersok/
KasamaKP
 
โพสต์: 208
ลงทะเบียนเมื่อ: อาทิตย์ 21 พ.ค. 2017 6:35 pm

ย้อนกลับไปยัง IT News

ผู้ใช้งานขณะนี้

กำลังดูบอร์ดนี้: ไม่มีสมาชิกใหม่ และ บุคคลทั่วไป 2 ท่าน