มัลแวร์ SVCReady ใหม่ถูกเปิดใช้งานโดยการเปิดเอกสาร Word แบบธรรมดา และสามารถดาวน์โหลดมัลแวร์อื่นๆ ลงในคอมพิวเตอร์ของคุณ หรือแม้แต่ขโมยข้อมูลเกี่ยวกับการกำหนดค่าของคุณ
นักวิจัยด้านความปลอดภัยที่ HP Wolf Security เพิ่งค้นพบมัลแวร์ตระกูลใหม่ (มัลแวร์) ซึ่งทำให้ข้อมูลถูกขโมยได้ ภัยคุกคามนี้เรียกว่า SVCReady ถูกซ่อนอยู่ในเอกสาร Word ที่แฮกเกอร์ส่งไปยังเหยื่อโดยเป็นส่วนหนึ่งของแคมเปญสแปม
จนถึงขณะนี้ไม่มีอะไรใหม่ แต่ SVCReady มีคุณสมบัติพิเศษเล็กน้อยที่ทำให้มันพิเศษมาก นี้มัลแวร์ไม่ใช้คำสั่ง PowerShell หรือ MSHTA เพื่อดาวน์โหลดเพย์โหลดสด (น้ำหนักบรรทุก- การเปิดไฟล์ Word ก็เพียงพอแล้วและกระตุ้นการทำงานของคำสั่งแมโคร VBA ซึ่งจะโหลดโปรแกรมที่ซ่อนอยู่ในพื้นที่คุณสมบัติของเอกสารลงในหน่วยความจำ
จากนั้นโค้ดจะเปิดการทำงานของไลบรารี DLL โดยใช้โปรแกรม Windows rundll32.exe ไลบรารี DLL นี้ทำหน้าที่ดาวน์โหลดโดยการสื่อสารกับเซิร์ฟเวอร์ของโจรสลัด มันยังไปไกลกว่านั้นด้วยการรวบรวมข้อมูล เช่น ชื่อผู้ใช้ เขตเวลา และการเป็นสมาชิกโดเมนที่เป็นไปได้ ด้วยการสอบถามรีจิสทรี โปรแกรมยังรวบรวมข้อมูลเกี่ยวกับ Bios ผู้ผลิตคอมพิวเตอร์ กระบวนการทำงาน และโปรแกรมที่ติดตั้ง นอกจากนี้ยังสามารถจับภาพหน้าจอและทราบจำนวนอุปกรณ์ USB ที่เชื่อมต่อ ต่อจากนั้นจะพยายามรวบรวมข้อมูลระบบอีกครั้งโดยใช้กระบวนการ systeminfo.exe มัลแวร์ยังพยายามตรวจจับว่าทำงานอยู่ในเครื่องเสมือนหรือไม่ จากนั้นจะเข้าสู่โหมดสลีปเป็นเวลา 30 นาที
เกี่ยวข้องกับมัลแวร์ ReLine Stealer
เมื่อตรวจพบเมื่อวันที่ 26 เมษายน การวิเคราะห์โค้ดของนักวิจัยระบุว่า SVCReady กำลังดาวน์โหลดโปรแกรม RedLine Stealer มัลแวร์นี้ออกแบบมาเพื่อขโมยรหัสผ่าน ข้อมูลการชำระเงิน และข้อมูลการท่องเว็บ
นับตั้งแต่การค้นพบเมื่อปลายเดือนเมษายน นักวิจัยของ HP Wolf Security ระบุว่า โปรแกรมดังกล่าวได้รับการพัฒนามากขึ้น ดังนั้นข้อมูลที่แลกเปลี่ยนกับเซิร์ฟเวอร์ของแฮกเกอร์จึงได้รับการเข้ารหัส ซึ่งไม่ได้เป็นเช่นนั้นในตอนแรก อย่างไรก็ตาม มัลแวร์มีข้อผิดพลาดในการเขียนโปรแกรมที่ทำให้หยุดทำงานเมื่อรีสตาร์ทคอมพิวเตอร์ เป็นต้น นอกจากนี้ โปรแกรมจะสร้างคีย์เฉพาะในรีจิสทรีที่ทำให้ตรวจพบได้ง่าย
แต่นักวิจัยกล่าวว่ามัลแวร์กำลังพัฒนาและอาจกลายเป็นภัยคุกคามที่ร้ายแรงยิ่งขึ้น นอกจากนี้ยังมีความคล้ายคลึงกับโปรแกรมที่กลุ่มอาชญากรไซเบอร์ใช้TA551- กลุ่มนี้ใช้ช่องโหว่ในเซิร์ฟเวอร์ Microsoft Exchange เพื่อขโมยชื่อผู้ใช้และรหัสผ่าน เจาะเข้าไปในกล่องอีเมล และตอบกลับอีเมลโดยเปลี่ยนเส้นทางไปยังโทรจันธนาคาร เราจึงต้องระมัดระวังให้มาก
🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
แหล่งที่มา : เอชพี
