IBM ค้นพบมัลแวร์โทรจันที่เกี่ยวกับการโจมตีภาคการธนาคารที่เรียกว่า UnregStealer ซึ่งกำหนดเป้าหมายธนาคารในละตินอเมริกา ขณะปลอมตัวเป็นส่วนเสริม (extension) ของ Chrome นักวิจัยอาวุโสด้านภัยคุกคาม Itzhak Chimino รายงานว่า มัลแวร์หลอกให้ผู้ใช้งานติดตั้งโดยแสดงคำเตือนความปลอดภัยปลอมเกี่ยวกับการอัปเดตใบรับรอง SSL ที่จำเป็น โทรจันตัวนี้ทำงานโดยมีการกำกับดูแลจากมนุษย์แบบแมนนวล ทำให้แทบมองไม่เห็นสำหรับระบบแซนด์บ็อกซ์และระบบตรวจจับเชิงพฤติกรรมที่ไม่เคยเห็นเพย์โหลดเริ่มทำงาน วิธีปฏิบัตินี้ช่วยให้ UnregStealer ขโมยคุกกี้เซสชัน รหัสผ่าน รหัสผ่านแบบใช้ครั้งเดียว และเลขบัญชี จากเหยื่อที่เข้าเยี่ยมพอร์ทัลธนาคารที่ถูกกำหนดเป้าหมาย
UnregStealer ปลอมตัวเป็นการอัปเดตใบรับรอง SSL
ตามคำกล่าวของ Chimino, UnregStealer หลอกผู้ใช้งานผ่านคำเตือนด้านความปลอดภัยที่ถูกสร้างขึ้นมาโดยเทียม จากรูปแบบการตั้งชื่อไฟล์ที่สามารถเรียกใช้งานได้ (executable) และรูปแบบการส่งมอบ ทำให้เหยื่อได้รับคำเตือนที่ดูเหมือนจะเป็นประกาศความปลอดภัยว่าการทำงานของเบราว์เซอร์จำเป็นต้องอัปเดตใบรับรอง SSL แบบบังคับ ใบรับรองดังกล่าวถูกสร้างขึ้นทั้งหมด และไม่มีข้อกำหนดแบบนั้นอยู่จริง นี่คือเรื่องเล่าที่น่าเชื่อเพื่อให้เหยื่อยอมเรียกใช้ไฟล์ที่ทำงานได้
มัลแวร์ขโมยข้อมูลรับรองธนาคารด้วยการเฝ้าติดตามเซสชัน
เมื่อผู้ใช้ท่องอินเทอร์เน็ต มัลแวร์จะทำงานด้วยสคริปต์ที่ตรวจสอบว่าผู้เสียหายกำลังเข้าชมเว็บไซต์ใดเว็บไซต์หนึ่งจากรายการที่อยู่ในพอร์ทัลธนาคารที่ถูกกำหนดเป้าหมายหรือไม่ หากเป็นเช่นนั้น มัลแวร์จะขโมยคุกกี้เซสชันสำหรับเว็บไซต์ธนาคารที่เหยื่อกำลังเยี่ยมชม ทุกครั้งที่มีการคลิกและป้อนข้อมูล มัลแวร์จะเก็บข้อมูลที่มีสิทธิพิเศษ เช่น รหัสผ่าน รหัสผ่านแบบใช้ครั้งเดียว และเลขบัญชี
การทำงานแบบแมนนวลช่วยหลบเลี่ยงระบบตรวจจับ
Chimino อธิบายว่าโทรจันตัวนี้มีผู้ปฏิบัติงานตัวจริงที่เฝ้าดูเซสชันของเหยื่อแบบสด และกดสั่งการด้วยตนเอง ความแตกต่างนี้ทำให้แคมเปญเกือบมองไม่เห็นสำหรับระบบแซนด์บ็อกซ์และระบบตรวจจับเชิงพฤติกรรมที่ไม่เคยเห็นเพย์โหลดเริ่มทำงาน เมื่อเก็บข้อมูลได้แล้ว แนวทางขั้นต่อไปของ UnregStealer จะถูกกำหนดโดยผู้ปฏิบัติงานที่เป็นมนุษย์
IBM ชี้เห็นศักยภาพในการขยายการกำหนดเป้าหมาย
ตามคำกล่าวของ Chimino มัลแวร์ธนาคาร UnregStealer มีความสามารถและศักยภาพที่จะก่อให้เกิดภัยคุกคามที่ใหญ่ขึ้น รูปแบบโครงสร้างพื้นฐานที่สังเกตพบบ่งชี้ถึงผู้ปฏิบัติงานที่มีทั้งความสามารถและแรงจูงใจในการขยายการกำหนดเป้าหมายเกินกว่าสิ่งที่การตรวจสอบครั้งนี้ยืนยันไว้
FAQ
UnregStealer คืออะไร และมันกำหนดเป้าหมายเหยื่ออย่างไร?
UnregStealer เป็นแบงกิ้งโทรจันที่กำหนดเป้าหมายธนาคารในละตินอเมริกา โดยปลอมตัวเป็นส่วนเสริม (extension) ของ Chrome มันหลอกให้ผู้ใช้งานติดตั้งด้วยคำเตือนความปลอดภัยปลอมเกี่ยวกับการอัปเดตใบรับรอง SSL ที่จำเป็น ซึ่งถูกสร้างขึ้นทั้งหมด
UnregStealer หลบเลี่ยงระบบตรวจจับได้อย่างไร?
มัลแวร์เกี่ยวข้องกับผู้ปฏิบัติงานตัวจริงที่เฝ้าดูเซสชันของเหยื่อแต่ละรายแบบสด และกดสั่งการด้วยตนเอง การทำงานแบบแมนนวลนี้ทำให้แคมเปญแทบมองไม่เห็นสำหรับระบบแซนด์บ็อกซ์และระบบตรวจจับเชิงพฤติกรรมที่ไม่เคยเห็นเพย์โหลดเริ่มทำงาน
UnregStealer ขโมยข้อมูลอะไรจากเหยื่อ?
UnregStealer ขโมยคุกกี้เซสชันสำหรับเว็บไซต์ธนาคาร และเก็บข้อมูลที่มีสิทธิพิเศษ เช่น รหัสผ่าน รหัสผ่านแบบใช้ครั้งเดียว และเลขบัญชี ทุกครั้งที่มีการคลิกช่องกรอกและป้อนข้อมูลบนพอร์ทัลธนาคารที่ถูกกำหนดเป้าหมาย
