เนียนขั้นสุด แรนซัมแวร์ตัวใหม่ แฝงมากับอัปเดตปลอม

HavanaCrypt
ปัจจุบัน วิธีใหม่ของเหล่าแฮกเกอร์คือพยายามส่ง Ransomware หรือมัลแวร์เรียกค่าไถ่มากับการอัปเดต Windows หรือซอฟต์แวร์ที่ผู้คนไว้ใจ ซึ่งจะส่งผลให้การโจมตีมีโอกาสประสบความสำเร็จมากขึ้น
.
มัลแวร์ตัวใหม่นี้มีชื่อ HavanaCrypt ค้นพบโดยนักวิจัยจาก Trend Micro ซึ่งได้ปลอมแปลงตัวเองเป็นการอัปเดตจาก Google Software Update และสิ่งที่น่าแปลกใจอีกอย่างคือ เซิร์ฟเวอร์คำสั่งและการควบคุม ของมัลแวร์ใช้โฮสต์บนที่อยู่ IP เว็บโฮสติ้งของ Microsoft
.
HavanaCrypt นั้นมีการใช้เทคนิคในการโจมตีมากมาย ไม่ว่าจะเป็น การตรวจสอบว่าเครื่องดังกล่าวกำลังทำงานในสภาพแวดล้อมเสมือนจริงหรือไม่ หรือเป็นแค่เครื่องหลอกที่ใช้ดักมัลแวร์ มีการใช้รหัสของตัวจัดการรหัสผ่านโอเพ่นซอร์สอย่าง KeePass Password Safe ระหว่างการเข้ารหัส และการใช้ฟังก์ชัน .Net ที่เรียกว่า “QueueUserWorkItem” เพื่อเพิ่มความเร็วในการเข้ารหัส
.
HavanaCrypt เป็นหนึ่งในเครื่องมือเรียกค่าไถ่และมัลแวร์อื่นๆ ที่มีจำนวนเพิ่มขึ้นเรื่อยๆ ซึ่งในช่วงไม่กี่เดือนที่ผ่านมาได้มีการเผยแพร่ในรูปแบบของการอัปเดตปลอมสำหรับ Windows 10, Microsoft Exchange และ Google Chrome
.
ในเดือนพฤษภาคม นักวิจัยด้านความปลอดภัยพบแรนซัมแวร์ที่มีชื่อว่า “Magniber” มันปลอมแปลงเป็นการอัปเดต Windows 10 และเมื่อต้นปีนี้ นักวิจัยที่ Malwarebytes ได้สังเกตเห็นตัวดำเนินการของ Magnitude Exploit Kit ที่พยายามหลอกให้ผู้ใช้ดาวน์โหลด โดยทำให้มัลแวร์เป็นการอัปเดตของ Microsoft Edge
.
ในตอนนี้ ยังไม่มีวิธีที่แน่ชัดในการป้องกันการโจมตีของ HavanaCrypt โดยตัวผู้ใช้เอง เพราะมันใช้เทคนิคที่ผ่านการตรวจสอบอย่างถูกต้อง ซึ่งก็ต้องรอผู้ให้บริการทั้ง Google และ Microsoft ปิดช่องโหว่ที่แฮกเกอร์ใช้ก่อนครับ
.
ที่มาข้อมูล