นักวิจัยพบเครื่องมือที่ชื่อว่า "BatCloak" ซึ่งถูกใช้ในการสร้างมัลแวรในรูปแบบไฟล์ Batch ที่สามารถหลบหลีกการตรวจจับของ Antivirus (Antivirus Evasion Detection) ได้อย่างสมบูรณ์แบบ (Fully Undetectable) จากรายงานของ Trendmicro ระบุว่า ไฟล์มัลแวร์สามารถหลบหลีกการตรวจจับได้ถึง 80% จากไฟล์มัลแวร์เกือบ 800 ตัว
พบว่าเครื่องมือที่ชี่อ ว่า "BatCloak" นี้ถูกพัฒนามาอย่างต่อเนื่อง จนถึงเวอร์ชั่นล่าสุด ที่มีชื่อว่า "ScrubCrypt" เครื่องมือเวอร์ชั่นล่าสุดนี้ ถูกตรวจพบครั้งแรกโดยทีมวิจัยจาก Fortinet Fortiguard และมีความเชื่อมโยงกับกลุ่ม ผู้ไม่หวังดีที่ชื่อว่า "8220 Gang" ที่มีจุดประสงค์เพื่อใช้เครื่องเหยื่อทำเหมือง Crypto นอกจากนี้พบว่า ScrubCrypt เคยถูกใช้ร่วมกับมัลแวร์หลายตัว เช่น Amadey, Redline Stealer และเครื่องมือจำพวก Remote Access Trojan (RAT) อีกหลายตัว
ทั้งนี้ มีข้อสังเกตว่ามัลแวร์ที่ถูกพัฒนานี้ มาในช่วงหลัง ๆ นี้จะเน้นไปที่ความสามารถในการหลบหลีกการตรวจจับ จาก Antivirus หรือ ที่เรียกว่า Fully Undetectable (FUD) ยกตัวอย่างเช่น ก่อนหน้านี้ไม่นาน มีการประกาศขายเครื่องมือที่ชื่อว่า "Spyboy" ที่มีการระบุว่าสามารถหลบหลีกการตรวจจับจาก Endpoint Protection ได้ทุกตัว และจากความสำเร็จ ในการหลบหลีกการตรวจจับได้ของเครื่องมือเหล่านี้ทำให้เชื่อได้ว่าน่าจะมีมัลแวร์อื่น ๆ ตาม มาอีกเรื่อย ๆ
ดังนั้นการตรวจจับ และป้องกันบนเครื่องจึงควรพัฒนาตามให้ทันการใช้งาน Endpoint Protection ที่มีความสามารถของ Endpoint Detection & Response (EDR) หรือ User and Entity Behavior Analytics (UEBA) ก็สามารถเป็นทางเลือกหนึ่งในการเพิ่มศักยภาพการตรวจจับพฤติกรรมการทำงานที่ต้องสงสัยบนเครื่อง เพื่อลดความเป็นไปได้ในการโจมตีที่สำเร็จบนเครื่องได้
.
1. Batch จะถูกสั่งให้ทำงาน เพื่อทำการ Deobfuscation ให้เครื่องสามารถอ่านชุดคำ สั่งเข้าใจ และสั่งให้ชุดคำสั่งทำงาน
2. PowerShell จะเริ่มทำงาน เพื่อทำการ decode, decrypt และ decompress อีกชั้นนึง เพื่อแปลงกลับมาเป็น C# และสั่งให้ชุดคำสั่งดังกล่าวทำงาน
3. C# จะทำการ decompress และ decrypt อีกชั้นจากนั้นจึงจะเป็นชุดคำ สั่งจริง ๆ (Payload) ที่จะใช้โจมตีบนเครื่องเหยื่อ
.
นักวิจัยเชื่อว่าเครื่องมือชื่อว่า "Jlaive" ที่เคยถูกแบ่งปันบน GitHub และ GitLab ด้วยบัญชีที่ชื่อว่า "ch2sh" เมื่อเดือนกันยายน 2022 และมีเครื่องมือสามารถแปลงไฟล์ EXE ไปเป็นไฟล์ Batch ที่ไม่สามารถถูกตรวจจับได้นั้น เป็นจุดเริ่มต้นของการพัฒนาต่อยอดเครื่องมือจาก open-source อย่าง “Jlaive” มาเป็นเครื่องมือ close-source ที่ชี่อ ว่า "BatCloak" นี้
ปัจจุบันบัญชี GitHub และ GitLab ดังกล่าวได้ถูกปิดไปแล้ว จึงยิ่งเป็นการตอกย้ำถึงความสำเร็จจากการแปลงไฟล์มัลแวร์ให้อยูในรูปแบบไฟล์ Batch และสามารถหลบหลีกการตรวจจับจาก Antivirus ได้ถึง 80% จากไฟล์มัลแวร์ทั้ง หมดเกือบ 800 ตัว
.
https://thehackernews.com/.../cybercriminals-using...
https://www.trendmicro.com/.../analyzing-the-fud-malware...
https://jstnk9.github.io/.../Jlaive-Antivirus-Evasion-Tool/
https://www.reddit.com/.../20230531_situational_awareness...
.
สอบถามหรือสนใจ รับบริการด้าน Cyber Security
ติดต่อ : 093-139-9442 หรือ Inbox
เว็บไซต์ : https://www.infinitythailand.io/
แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ในโมดูล Facebook ระดับพรีเมียมสำหรับ PrestaShop ที่ชื่อว่า pkfacebook เพื่อปล่อย Card skimmer บนไซต์ E-commerce ที่มีช่องโหว่ และขโมยข้อมูลบัตรเครดิตการชำระเงิน
นักวิจัยจาก Sonatype นามว่า Ax Sharma พบแพ็กเกจอันตรายของ PyPi ที่เป็นส่วนหนึ่งของแคมเปญที่ผ่านมาชื่อว่า 'Cool package' ตั้งชื่อตามสตริงในข้อมูล Metadata ของแพ็กเกจที่กำหนดเป้าหมายผู้ใช้ Windows เมื่อปีที่แล้ว
Google ปล่อยแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 9 ช่องโหว่บนเบราว์เซอร์ Chrome รวมถึงช่องโหว่ Zero-Day ที่มีรายงานว่าถูกใช้ในการโจมตีจริงแล้ว