มัลแวร์ xRAT อ้างตัวเป็นเกมลามก

มัลแวร์ xRAT อ้างตัวเป็นเกมลามก

หลอกเข้าฝังตัวบนเครื่องระบบ Windows

การเล่นวิดีโอเกมลามก หรือ หาวิดีโอลามกมารับชมนั้น ถึงแม้จะมีความก้ำกึ่งในเรื่องศีลธรรม และในบางที่อาจจะผิดกฎหมาย แต่ก็ต้องยอมรับว่าเป็นธรรมชาติของมนุษย์ในภาพรวมทำให้ในหลายประเทศนั้นแม้จะต้องเสี่ยงอันตรายหาของเถื่อนมารับชมก็มักจะโอบรับความเสี่ยงกัน แต่บางความเสี่ยงอาจจะอันตรายมากกว่าที่ผู้สรรหาคาดการณ์ไว้ เช่นในข่าวนี้

จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบแคมเปญการแพร่กระจายมัลแวร์ประเภทเข้าควบคุมเครื่องจากระยะไกล หรือ RAT (Remote Access Trojan) ที่มีชื่อว่า xRAT หรือเป็นที่รู้จักกันในอีกชื่อหนึ่งว่า QuasarRAT ซึ่งแคมเปญนี้มุ่งเน้นในการเล่นงานกลุ่มผู้ใช้งานระบบปฏิบัติการ Windows ในประเทศเกาหลีใต้ ด้วยการแอบอ้างตัวเองเป็นวิดีโอเกมลามกผ่านวิธีการหลอกลวงเหยื่อแบบการทำวิศวกรรมทางสังคม (Social Engineering

ซึ่งในการแพร่กระจายมัลแวร์ตัวนี้นั้น ทางแฮกเกอร์จะทำการบีบอัดไฟล์เกมปลอมที่มีมัลแวร์ซ่อนอยู่ในรูปแบบไฟล์ Zip ซึ่งภายในไฟล์นั้นจะประกอบด้วยไฟล์ต่าง ๆ มากมายที่ดูคล้ายกับเกมปกติ เช่น Game.exe, Data1.Pak และ ไฟล์สนับสนุนอื่น ๆ ซึ่งไฟล์บีบอัดตัวนี้ทำการอัปโหลดขึ้นไปบนบริการ Webhard ซึ่งเป็นบริการรับฝากไฟล์ที่เป็นที่นิยมในประเทศเกาหลีใต้ ซึ่งบริการเว็บในรูปแบบนี้เมื่อมีผู้อัปโหลดไฟล์ใหม่และตั้งชื่อไฟล์ที่น่าสนใจ ก็จะมีผู้เข้ามาซื้อไฟล์จากแพลตฟอร์มโดยที่ผู้ที่อัปโหลดก็จะได้ส่วนแบ่งจากค่าไฟล์นั้น เรียกว่านอกจากจะหลอกให้เหยื่อดาวน์โหลดไฟล์มัลแวร์จากการตั้งชื่อที่น่าสนใจได้แล้ว ยังได้รับรายได้อีก เรียกว่าได้ทั้งขึ้นทั้งล่อง

โดยหลังจากที่เหยื่อทำการดาวน์โหลดไฟล์เกมปลอมแล้วทำการคลายไฟล์ พร้อมทั้งรันไฟล์ Game.exe ขึ้นมา ก็จะพบกับหน้าจอเมนูคล้ายกับตัวเปิดเกม หรือ Launcher ทั่วไป แต่หลังจากที่เหยื่อกดปุ่ม Play เพื่อเล่นเกมนั้น ตัวมัลแวร์ก็จะเริ่มทำงานทันทีด้วยการคัดลอกไฟล์ Data1.Pak ไปยังโฟลเดอร์ Locales_module ภายใต้ชื่อ Play.exe ในขณะเดียวกันตัวมัลแวร์ก็จะทำการคัดลอกไฟล์ Data2.Pak และ Data3.Pak ไปยังโฟลเดอร์ Windows Explorer ภายใต้ชื่อไฟล์ GoogleUpdate.exe และ WinUpdate.db

หลังจากที่ทุกไฟล์เข้าประจำการในโฟลเดอร์ที่กำหนดจนครบแล้ว ตัวมัลแวร์ก็จะทำการรันไฟล์ GoogleUpdate.exe ขึ้นมา โดยตัวไฟล์จะทำการค้นหาไฟล์ WinUpdate.db ที่อยู่ในโฟล์เดอร์เดียวกัน แล้วทำการถอดรหัส (Decryption) ด้วยการใช้งานอัลกอริทึ่ม AEC เพื่อดึงเอาโค้ดมัลแวร์ในรูปแบบ Shellcode ตัวสุดท้ายออกมาแล้วทำการยิงโค้ดดังกล่าวไปยัง Process ที่มีชื่อว่า explorer.exe ซึ่งเป็น Process สำคัญของ Windows ทำให้ตัวมัลแวร์มีสิทธิ์เข้าถึงระบบในระดับสูงสุด (SYSTEM) นอกจากนั้นในการยิงโค้ดเข้าไปยัง Process ดังกล่าว ยังมีการใช้งานฟังก์ชัน EtwEventWrite พร้อมกับคำสั่ง Return Instruction เพื่อปิดการใช้งาน Event Tracing ของ ระบบ Windows Logging ทำให้ปกปิดร่องรอยการติดตั้ง และการทำงานของมัลแวร์จนมิดชิดจนตรวจสอบกลับได้ยาก นอกจากนั้นยังช่วยป้องกันการถูกตรวจจับโดยเครื่องมือป้องกันภัยไซเบอร์ต่าง ๆ บนเครื่องได้อีกด้วย จนเรียกได้ว่าเป็นเทคนิคเพื่อการคงตัวบนระบบ หรือ Persistence ประเภทหนึ่ง

หลังจากทุกอย่างพร้อมแล้ว ก็จะทำการยิงโค้ดตัวสุดท้ายจริง ๆ ลงไป นั่นคือโค้ดของมัลแวร์ xRAT ที่มีประสิทธิภาพในการขโมยข้อมูลหลากหลายรูปแบบ ไม่ว่าจะเป็น เก็บข้อมูลของระบบ, แอบดักจับข้อมูลการใช้งานคีย์บอร์ด, และลักลอบขโมยไฟล์กลับไปให้แฮกเกอร์หรือแม้แต่ส่งไฟล์จากแฮกเกอร์เข้ามาในเครื่อง จากความร้ายกาจดังกล่าว แหล่งข่าวจึงได้ทำการเตือนว่า ขอให้ผู้ใช้งานมีความระมัดระวังในการดาวน์โหลดไฟล์ต่าง ๆ อย่างยิ่งยวด เพื่อความปลอดภัยของข้อมูลและตัวเครื่องเอง