11 มิถุนายน 2567 | สืบสาย โสดานิล
บริษัทวีซ่าเตือนการโจมตีทางไซเบอร์ที่เกี่ยวข้องกับตรวจพบมัลแวร์เวอร์ชันใหม่โดยมัลแวร์ JsOutProx มุ่งเป้าหมายไปยังสถาบันการเงินและกลุ่มลูกค้าของบริษัท การเตือนภัยด้านความปลอดภัยทางไซเบอร์จาก Payment Fraud Disruption (PDF) ของ Visa ถูกส่งให้กับผู้ออกบัตร ตัวประมวลผล และผู้รับชำระเงิน บริษัทวีซ่ารายงานว่าพวกเขาได้รับทราบเกี่ยวกับการแพร่กระจายของแคมเปญการพยายามหลอกลวงผ่านอีเมล แคมเปญนี้กำหนดเป้าหมายสถาบันการเงินในเอเชียใต้และเอเชียตะวันออกเฉียงใต้ ตะวันออกกลาง และแอฟริกา
มัลแวร์ JsOutProx เป็นตระกูลของ Remote Access Trojan (RAT) โดยพบครั้งแรกในเดือนธันวาคม พ.ศ. 2562 โดยเป็น Backdoor ในลักษณะของ JavaScript ที่มีการแฝงตัวและมีการเขียนโค้ดให้มีความซับซ้อนยากต่อการวิเคราะห์การทำงาน ซึ่งช่วยให้ผู้ดำเนินการสามารถเรียกใช้คำสั่ง shell, ดาวน์โหลดเพย์โหลดเพิ่มเติม, ดำเนินการกับไฟล์เช่น การเพิ่ม ลบ แก้ไขไฟล์, จับภาพหน้าจอ, และควบคุมแป้นพิมพ์และเมาส์ได้ ซึ่งปัจจุบัน มัลแวร์ JSOutProx ได้พัฒนาเวอร์ชันล่าสุดเพื่อการหลบหลีกอุปกรณ์ป้องกันภัยคุกคามทางไซเบอร์ได้ดีขึ้น และใช้ GitLab เป็นเว็บโฮสต์เพื่อเผยเพร่มัลแวร์ ในการโจมตีที่สังเกตเห็นในลูกค้าของธนาคารพบการสร้างโฆษณาการเงินและถูกส่งไปยังเป้าหมายผ่านทางอีเมลที่หลอกลวงเป็นพนักงานจากสถาบันทางการเงิน โดยมีการแจ้งเตือนแบบการชำระเงิน SWIFT หรือ MoneyGram เพื่อหลอกลวงและขโมยข้อมูล โดยไฟล์ ZIP ที่แนบมากับอีเมลจะมีไฟล์ .js ที่เป็นส่วนหนึ่งของมัลแวร์ JSOutProx โดยเมื่อไฟล์เหล่านี้ถูกเรียกใช้ มันจะดาวน์โหลดเพิ่มเติมไปยังส่วนของมัลแวร์ JSOutProx จากเซิร์ฟเวอร์ GitLab
วิธีการโจมตี
มัลแวร์มีการใช้งานคำสั่งที่ทำให้ผู้โจมตีสามารถดำเนินการฟังก์ชันพื้นฐานต่างๆ ของมัลแวร์ JSOutProx เช่น การอัปเดต, การจัดการเวลาการโจมตี, การดำเนินการกระบวนการ ซึ่งเป็นตัวอย่างของความสามารถที่มันมีไว้ให้ผู้โจมตีดำเนินการต่อไป
มัลแวร์ JSOutProx ได้มีส่วนของปลั๊กอินเพิ่มเติมที่ขยายขอบเขตของกิจกรรมที่เป็นอันตรายที่ผู้โจมตีสามารถดำเนินการได้อย่างมีประสิทธิภาพ ได้แก่:
• ตั้งค่าการสื่อสารและการทำงานของ RAT เพื่อให้สามารถหลีกเลี่ยงการตรวจจับได้
• แก้ไขการตั้งค่าพร็อกซีสำหรับการจัดการการรับส่งข้อมูลทางอินเทอร์เน็ตและการหลีกเลี่ยงมาตรการรักษาความปลอดภัย
• ขโมยหรือเปลี่ยนแปลงเนื้อหาในคลิปบอร์ด เข้าถึงข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่าน
• ปรับการตั้งค่า DNS เพื่อเปลี่ยนเส้นทางการรับส่งข้อมูล ช่วยในการฟิชชิ่งหรือการสื่อสารไปยัง C2 เพื่อขโมยข้อมูล
• ค้นหารายละเอียดและการติดต่อจาก Outlook เพื่อหาการโจมตีแบบฟิชชิ่งหรือการแพร่กระจายของมัลแวร์
• Bypass UAC และแก้ไขรีจิสทรีเพื่อการเข้าถึงระบบและฝังตัวอยู่บนเครื่องเป้าหมาย
• ปรับแต่งการตั้งค่า DNS และพร็อกซีเพื่อควบคุมหรือปิดบังการรับส่งข้อมูลอินเทอร์เน็ต
• ดำเนินการโจมตีโดยอัตโนมัติหรือสร้าง Session การฝังตัวอยู่โดยการสร้างและแก้ไขไฟล์ทางลัด (shortcut files)
• กู้คืนและส่งข้อมูลจากระบบที่ติดไวรัสไปยังผู้โจมตี ซึ่งอาจนำไปสู่การขโมยข้อมูลหรือพยายามโจมตีแบบแรนซัมแวร์
• ขโมยรหัสผ่าน (OTP) เพื่อ Bypass การป้องกันการตรวจสอบสิทธิ์แบบสองปัจจัยในบัญชีเป้าหมาย
Resecurity กล่าวว่าการดำเนินงานในช่วงแรกของมัลแวร์ JSOutProx มาจากผู้คุกคามชื่อ ‘Solar Spider’ แต่ไม่มีการระบุแหล่งที่มาที่เป็นรูปธรรมสำหรับแคมเปญล่าสุด เมื่อพิจารณาจากความซับซ้อนของการโจมตี โปรไฟล์ของเป้าหมาย และภูมิศาสตร์ของการโจมตี นักวิเคราะห์ประเมินด้วยความมั่นใจว่ามัลแวร์ JSOutProx ดำเนินการโดยแฮกเกอร์จากประเทศจีน
คำแนะนำหรือแนวทางแก้ไข
แนะนำให้องค์กรที่อยู่ในเสี่ยง ต้องสังเกตความปลอดภัยของสิทธิ์การดูแลระบบอย่างใกล้ชิด การอัปเดตผลิตภัณฑ์ด้านความปลอดภัยอย่างสม่ำเสมอ การดำเนินการสแกนและสำรองข้อมูลอย่างเป็นประจำ และส่งเสริมการศึกษาให้กับพนักงานเกี่ยวข้องกับเทคนิค การบรรเทาความเสี่ยงและการปฏิบัติตามมาตรการรักษาความปลอดภัยทางไซเบอร์อย่างเป็นระเบียบ
สรุป
การค้นพบเวอร์ชันใหม่ของมัลแวร์ JSOutProx ยังคงเป็นอันตราย โดยเฉพาะต่อกลุ่มลูกค้าของสถาบันการเงิน ในปีนี้ มีการขยายขอบเขตโดยพวกผู้โจมตีมีแนวโน้มมากขึ้น เนื่องจากภัยคุกคามเหล่านี้มีความซับซ้อนและเข้าถึงได้มากขึ้น โดยปัจจุบันยังคงต้องระมัดระวังมัลแวร์ JSOutProx เพื่อป้องกันสถาบันการเงินและกลุ่มลูกค้าทั่วโลก
เกี่ยวกับไซเบอร์ตรอน
ผู้ให้บริการ #CyberResilience ศูนย์เฝ้าระวังภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์รูปแบบใหม่ พร้อมโซลูชั่นเพื่อการพัฒนาความสามารถด้วยแพลตฟอร์มการจำลองยุทธ์ด้านความมั่นคงปลอดภัยไซเบอร์ อีกทั้งยังเป็นผู้นำการให้บริการนวัตกรรมด้านความมั่นคงปลอดภัยไซเบอร์ที่ล้ำสมัยในระดับสากล
บริการของเรา