อาชญากรไซเบอร์จากเกาหลีเหนือได้ค้นพบวิธีการแย่งชิงโปรแกรมป้องกันไวรัสเพื่อตอบสนองวัตถุประสงค์ของพวกเขา แฮกเกอร์ใช้การอัปเดตซอฟต์แวร์เพื่อแพร่ไวรัสไปยังคอมพิวเตอร์ของเป้าหมาย การดำเนินการนี้มีจุดมุ่งหมายเพื่อรวบรวม cryptocurrencies
นักวิจัยด้านความปลอดภัยของ Avast ได้ค้นพบการโจมตีทางไซเบอร์ขนาดใหญ่ที่เกี่ยวข้องอีสแกนโปรแกรมป้องกันไวรัสจากอินเดีย เห็นได้ชัดว่าอาชญากรไซเบอร์สามารถแย่งชิงซอฟต์แวร์เพื่อแพร่กระจายมัลแวร์บนคอมพิวเตอร์ได้ เดิมที ปฏิบัติการนี้มีพื้นฐานมาจากการโจมตีแบบ "คนกลาง" (MitM) ซึ่งเป็นรูปแบบการโจมตีที่แฮกเกอร์วางตำแหน่งตัวเองระหว่างสองฝ่ายอย่างรอบคอบ ในกรณีนี้ อาชญากรไซเบอร์เข้ามาระหว่างโปรแกรมป้องกันไวรัสกับผู้ใช้
แฮกเกอร์สกัดกั้นได้อย่างเป็นรูปธรรมหนึ่งในการอัปเดต HTTPปรับใช้โดยทีม eScan ประมาณปี 2019 ตามที่อธิบายโดย Ars Technica ซึ่งถ่ายทอดรายงาน Avast โปรโตคอล HTTP มีความเสี่ยงที่จะถูกโจมตี เป็นไปได้ที่จะเสียหายหรือแก้ไขข้อมูลได้อย่างแน่นอน เนื่องจากไม่ได้เข้ารหัส ในขณะนี้ Avast ไม่ทราบว่าผู้โจมตีสามารถสกัดกั้นข้อมูลได้อย่างไร
อ่านเพิ่มเติม:แฮกเกอร์ Russian Forest Blizzard ใช้ประโยชน์จากช่องโหว่ของ Windows เพื่อขโมยรหัสผ่าน
ซอฟต์แวร์การขุด Cryptocurrency
แฮกเกอร์แทนที่ข้อมูลที่ส่งโดยทีมงาน eScan ด้วยไฟล์ที่เป็นอันตราย โดยพฤตินัย โปรแกรมป้องกันไวรัสเริ่มติดตั้งมัลแวร์บนคอมพิวเตอร์ของผู้ใช้ ตามที่นักวิจัยของ Avast นี่คือGuptiMiner- ไวรัสนี้ใช้งานได้ตั้งแต่ปี 2018 และได้รับการออกแบบมาเพื่อติดตั้งแบ็คดอร์บนเครื่องที่ติดไวรัส
นอกจากนี้มัลแวร์ยังถูกตั้งโปรแกรมให้อีกด้วยฉีด XMRig- ซอฟต์แวร์โอเพ่นซอร์สนี้ใช้พลังของ CPU และ GPU ของคอมพิวเตอร์ในการขุด cryptocurrencies โดยที่ผู้ใช้ไม่รู้ นอกจากนั้นยังมีประตูหลังอีกด้วย“สแกนอุปกรณ์เพื่อหาคีย์ส่วนตัวที่จัดเก็บไว้ในเครื่อง”คีย์ส่วนตัวเหล่านี้ให้การเข้าถึงกระเป๋าเงินที่ถือ cryptocurrencies บน blockchain Avast ระบุว่า GuptiMiner กำหนดเป้าหมายไปที่เครือข่ายธุรกิจเป็นหลัก
การโจมตีทางไซเบอร์จากเกาหลีเหนือ?
หลังจากการสอบสวน Avast เชื่อว่ามีแนวโน้มว่าการโจมตีทางไซเบอร์นั้นถูกควบคุมโดยอาชญากรไซเบอร์คิมซูกี้- แก๊งค์นี้หรือที่รู้จักกันในชื่อ Black Banshee ซึ่งได้รับทุนสนับสนุนจากรัฐบาลเกาหลีเหนือ เชี่ยวชาญในปฏิบัติการจารกรรมที่มีเป้าหมายไปยังต่างประเทศ รวมถึงเกาหลีใต้ด้วย นักวิจัยได้ค้นพบองค์ประกอบที่คล้ายกันในโค้ดของคีย์ล็อกเกอร์ที่ใช้โดย Kimsuky และใน Guptiminer Kimsuky ใช้เครื่องมือจารกรรมต่างๆ รวมถึงคีย์ล็อกเกอร์ เพื่อแทรกซึมและติดตามเป้าหมายของเขา
นอกจากนี้ ควรจำไว้ว่าแฮกเกอร์ที่ได้รับการสนับสนุนจากเกาหลีเหนือมักจะชื่นชอบสกุลเงินดิจิทัล เพื่อสร้างรายได้เป็นสกุลเงินดิจิทัล รัฐเกาหลีเหนือต้องอาศัยกองทัพโจรสลัดกลุ่มเล็กๆ บางส่วนยังเตรียมการโจมตีทางไซเบอร์ต่อโปรโตคอลและบริการทางการเงินแบบกระจายอำนาจ มันคือเลอ คัส ดู กัง ลาซารัส(หรือเรียกอีกอย่างว่า APT38) กลุ่มนี้ถูกสงสัยว่าขโมยเงินดิจิทัลมูลค่า 100 ล้านดอลลาร์จากลา blockchain Harmonyet624 ล้านดอลลาร์บนเครือข่ายโรนิน
เพื่อหลีกเลี่ยงการโจมตีทางไซเบอร์ประเภทนี้ นักพัฒนา eScan ควรเปลี่ยนไปใช้โปรโตคอล HTTPS ซึ่งใช้การเข้ารหัส SSL/TLS เพื่อปกป้องข้อมูลที่แลกเปลี่ยน eScan ได้รับการแจ้งเตือนจาก Avast และได้แก้ไขข้อบกพร่องที่เป็นต้นกำเนิดของการโจมตีเมื่อฤดูร้อนที่แล้ว
🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
แหล่งที่มา : อวาสต์
