การแพร่กระจายของไวรัส COVID-19 ทั่วโลกตอนนี้กลายเป็นช่องทางของพวกแฮ็กเกอร์ในการเผยแพร่โปรแกรมมัลแวร์โดยอาศัยความกลัวและความอยากรู้อยากเห็นของผู้คนทั่วโลกเกี่ยวกับการแพร่กระจายของไวรัสดังกล่าวในรูปแบบการแสดงผลการแพร่กระจายผ่านแผนที่แบบออนไลน์ แต่เบื้องหลังนั้นมีการทำงานของมัลแวร์ที่ฝังตัวและรอการทำงานตามที่แฮ็กเกอร์ต้องการ
นับว่าเป็นภัยร้ายในมุกใหม่โดยใช้มัลแวร์แบบเดิม
ภัยดังกล่าวค้นพบโดย MalwareHunterTeam ในสัปดาห์ที่ผ่านมาโดย Shai Alfasi ผู้ซึ่งเป็นนักวิจัย cybersecurity ของ Reason Labs มัลแวร์ดังกล่าวชื่อว่า AZORult ทำงานหลักในการขโมยข้อมูลค้นพบตั้งแต่ปี 2013 มันจะทำการขโมยข้อมูลจาก web browser,cookies,browser history,User ID,password และแม้กระทั่งคีย์ของเงินดิจิตอลที่มี ซึ่งข้อมูลเหล่านี้จะนำพาให้แฮ็กเกอร์ได้ข้อมูลบัตรเครดิต ข้อมูล login และข้อมูลอื่นๆ ตามมาอีกด้วย
หลักการทำงานของมัลแวร์
ไฟล์หลักของมัลแวร์คือ Corona-virus-Map.com.exe เป็นไฟล์ Win32 EXE ขนาดเล็กแค่ประมาณ 3.26 MB เมื่อเปิดไฟล์ออกมาจะแสดงข้อมูลเกี่ยวกับการแพร่กระจายของเชื้อไวรัส covid-19 ทั่วโลก ในลักษณะของแผนที่เหมือนที่หลายๆ คนเคยเห็นกันมาแล้วซึ่งเป็นข้อมูลจริง การทำงานของมัลแวร์ดังกล่าวมีการทำงานอยู่เบื้องหลังของการแสดงข้อมูลดังกล่าวทำให้อาจตรวจสอบได้ยาก
เราจะรู้ได้อย่างไรว่าติดมัลแวร์
การรันไฟล์ Corona-virus-Map.com.exe มีการสร้างโปรเซสในการทำงานตามมาหลายไฟล์ได้แก่ Corona.exe, Bin.exe, Build.exe, and Windows.Globalization.Fontgroups.exe
โจรขโมยอะไรไปบ้าง
โปรเซสทั้งหมดจะสร้างไฟล์ dynamic link libraries หรือไฟล์ DLL นั่นคือ nss3.dll ซึ่งมันทำงานหลากหลายมาก เช่นการโหลด API ในการถอดรหัส password ที่ถูกเซฟไว้ มีการขโมยข้อมูล login จาก web browser และทำการย้ายตัวเองไปที่โฟลเดอร์ c:\Windows\Temp และนี่คือเอกลักษณ์ของ AZORult ตัวนี้ ทั้งมัลแวร์นี้จะมีการสร้าง unique ID ของเครื่องเหยื่อทำการเข้ารหัสแบบ XOR และสร้าง การเชื่อมต่อไปยังเครื่องแฮ็กเกอร์เพื่อทำ C2 หรือ Command and Control เพื่อควบคุมเครื่องเหยื่ออย่างเบ็ดเสร็จเด็ดขาด
วิธีการป้องกันและแก้ไข
ซอฟแวร์ antivirus หลายตัวคงรับทราบปัญหานี้และน่าจะมีการอัพเดตกันบ้างแล้วส่วนใหญ่(หวังว่านะ) ดังนั้นทางแก้ไขปัญหาได้ดีที่สุดน่าจะเป็นการอัพเดตซอฟแวร์ antivirus ที่ใช้งานอยู่ให้ใหม่ที่สุด หรือถ้าอยากเหนือชั้นหาเองก็ไล่ตามไฟล์โพรเซสที่ว่ามาข้างต้นและปิดโพรเซสที่เกี่ยวข้องไปซะ
และท้ายนี้อยากฝากไว้ว่าปัญหาการแพร่ระบาดของไวรัสตัวนี้ยังไม่หยุดอยู่แค่นี้ยังอาจเกิดการลุกลามใหญ่โตกว่านี้ซึ่งในอนาคตเป็นที่แน่นอนว่าพวกแฮ็กเกอร์ต้องหามุกใหม่ๆ มาตามน้ำกับกระแสนี้อีกแน่นอนต่อไป
ผู้แต่ง : นายโอภาส หมื่นแสน วิศวกร สำนักบริการเทคโนโลยีสารสนเทศ มหาวิทยาลัยเชียงใหม่
ที่มา…Beware of ‘Coronavirus Maps’ – It’s a malware infecting PCs to steal passwords
