ในไฟล์ JPG แฮกเกอร์ได้ซ่อนโค้ดที่เป็นอันตรายซึ่งติดตั้งอย่างถาวรในระบบ เทศกาลลายพรางที่แท้จริง
นักวิจัยด้านความปลอดภัยของ Securonix ได้ค้นพบแคมเปญการแฮ็กระดับจักรวาลโดยเฉพาะ เรียกว่า “Go#Webfuscator” โดยอาศัยเทคนิคการพรางตัวและการทำให้งงงวยหลายชุด โดยเฉพาะเธอใช้ภาพกล้องโทรทรรศน์อันโด่งดังเจมส์ เวบบ์เพื่อติดตั้งอันตรายมัลแวร์บนระบบเป้าหมาย
อย่างไรก็ตาม จุดเริ่มต้นของการโจมตีนั้นค่อนข้างคลาสสิค แฮกเกอร์ส่งอีเมลพร้อมเอกสาร Word ที่ติดอยู่ เมื่อดึงข้อมูลแล้ว เอกสารนี้จะดาวน์โหลดไฟล์แม่แบบมีสคริปต์ Visual Basic ที่เป็นอันตราย หากผู้ใช้อนุญาตให้เรียกใช้งานมาโคร โปรแกรมนี้จะทำดาวน์โหลดภาพถ่ายของสแมคส์ 0723 กระจุกดาราจักรที่ถ่ายโดยกล้องโทรทรรศน์เจมส์ เวบบ์ โดยใช้กล้องอินฟราเรดใกล้ นอกจากนี้ยังเป็นภาพถ่ายปฏิบัติการแรกที่ถ่ายโดยดาวเทียมดวงนี้ด้วย
แต่ในกรณีนี้ ไฟล์นี้ไม่ได้มีแค่ดาวเท่านั้น นอกจากนี้ยังซ่อนไฟล์ปฏิบัติการที่ตั้งโปรแกรมไว้ใน Golang และเข้ารหัสในฐาน 64 ไบนารีนี้ถูกดึงออกมาโดยสคริปต์ Visual Basic ที่กล่าวถึงข้างต้น และบันทึกภายใต้ชื่อที่ดูเหมือนไม่มีอันตราย (msdlupdate.exe) แต่การปกปิดไม่ได้หยุดอยู่แค่นั้น เมื่อทำการคอมไพล์ แฮกเกอร์จะเข้ารหัสชุดอักขระที่อาจส่งสัญญาณเตือนในระบบ เช่น เส้นทางหรือคำสั่งเชลล์ สตริงเหล่านี้ถูกแปลงโดยใช้อัลกอริธึม ROT25 ซึ่งเป็นการเข้ารหัสตามการแทนที่อักขระ นอกจากนี้ บางส่วนของโค้ดยังถูกเข้ารหัสโดยอัลกอริธึม XOR ROT25 และ XOR เป็นอัลกอริธึมที่ค่อนข้างง่ายและถอดรหัสได้ง่ายมาก แต่เห็นได้ชัดว่าเพียงพอที่จะขัดขวางแอนตี้ไวรัสได้
แฮกเกอร์สื่อสารโดยใช้โปรโตคอล DNS
เมื่อดำเนินการแล้ว ไบนารี่นี้จะคัดลอกตัวเองลงในไดเร็กทอรีและสร้างคีย์รีจิสทรีของ Windows เพื่อให้แน่ใจว่าการดำเนินการจะคงอยู่ จากนั้นจะติดต่อกับเซิร์ฟเวอร์คำสั่งและการควบคุมของแฮกเกอร์ นี่เป็นเกมแห่งการพรางตัว เพราะการแลกเปลี่ยนเหล่านี้กระทำผ่านคำขอ DNS ในความเป็นจริงมัลแวร์จะส่งคำขอไปยังเซิร์ฟเวอร์ DNS ที่สร้างโดยแฮกเกอร์ อย่างหลังส่งคำสั่งโดยรวมคำสั่งที่เข้ารหัสไว้ในการตอบสนองต่อคำขอเหล่านี้“เมื่อสร้างการเชื่อมต่อ DNS แล้ว เราสังเกตเห็นผู้โจมตีดำเนินการคำสั่งการแจงนับตามอำเภอใจบนระบบทดสอบของเรา”อธิบาย Securonix ในบันทึกย่อของบล็อก การแจงนับประกอบด้วยการรวบรวมข้อมูลพื้นฐานเกี่ยวกับเทอร์มินัล: ประเภทระบบปฏิบัติการ เวอร์ชันเคอร์เนล ตัวแปรสภาพแวดล้อม แอปพลิเคชันที่ติดตั้ง ฯลฯ โดยปกติแล้วจะเป็นขั้นตอนแรกในการแฮ็กแบบเจาะลึก
นักวิจัยด้านความปลอดภัยได้เผยแพร่เบาะแสทางเทคนิคเพื่อตรวจจับมัลแวร์- ในทางกลับกัน พวกเขาไม่ได้เสี่ยงต่อการระบุแหล่งที่มาใดๆ ขณะนี้เราไม่รู้ว่าใครอยู่เบื้องหลังภาพถ่ายอวกาศปลอมนี้
🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
แหล่งที่มา : ซีกูโรนิกซ์
