BazarLoader มัลแวร์ที่แฝงมากับแอพฯ Slack และ BaseCamp
2021.05.05
BazarLoader มัลแวร์ที่แฝงมากับแอพฯ Slack และ BaseCamp
BazarLoader มัลแวร์ที่แฝงมากับแอพฯ Slack และ BaseCamp ที่ใช้ทำงานในช่วง Remote work หรือ Work from Home โดยจะทำการหลอกล่อเหยื่อให้หลงเชื่อ และคลิ๊กลิ้งเพื่อติดตั้งมัลแวร์ผ่านแอพฯ นอกจากนี้ยังมีการประยุกต์ใช้ voice-call เพื่อมาช่วยหลอกล่อเหยื่อให้ตายใจอีกด้วย
BazarLoader เขียนด้วย C ++ มีหน้าที่หลักในการดาวน์โหลดและเรียกใช้โมดูลเพิ่มเติม BazarLoader ถูกพบครั้งแรกในช่วงเดือนเมษายนที่ผ่านมา และตั้งแต่นั้นเป็นต้นมานักวิจัยได้สังเกตเห็นการทำงานอย่างน้อย 6 คำสั่ง “เป็นการส่งสัญญาณว่ามีการใช้งาน และมีการพัฒนาอย่างต่อเนื่อง”
เมื่อไม่นานมานี้มีการใช้มัลแวร์ในการจัดเตรียมแรนซัมแวร์โดยเฉพาะ “ ด้วยการมุ่งเน้นไปที่เป้าหมายในองค์กรขนาดใหญ่ BazarLoader อาจถูกใช้เพื่อโจมตี ransomware ในภายหลัง” ตามคำแนะนำจาก Sophos
การโจมตีที่แฝงมากับ Slack และ BaseCamp
ตามที่นักวิจัยของ Sophos ระบุในแคมเปญแรกที่พบว่าผู้ไม่หวังดีจะกำหนดเป้าหมายไปที่พนักงานขององค์กรขนาดใหญ่ด้วยอีเมลที่อ้างว่าจะเสนอข้อมูลสำคัญที่เกี่ยวข้องกับสัญญาการบริการลูกค้า ใบแจ้งหนี้ หรือ การจ่ายเงินเดือน
“ตัวอย่างสแปมหนึ่งรายการพยายามปลอมตัวเป็นการแจ้งเตือนว่าพนักงานถูกปลดออกจากงาน” Sophos กล่าว
ลิงก์ภายในอีเมลนั้นจะถูกโฮสต์บนที่เก็บข้อมูลบนคลาวด์ของ Slack หรือ BaseCamp ซึ่งหมายความว่าลิงก์เหล่านี้อาจดูถูกต้องหากเป้าหมายทำงานในองค์กรที่ใช้แพลตฟอร์มใดแพลตฟอร์มหนึ่ง ในยุค Remote work ยิ่งดูน่าเชื่อถือ
หากเป้าหมายคลิกที่ลิงก์ BazarLoader จะดาวน์โหลดและดำเนินการบนเครื่องของเหยื่อ โดยทั่วไปลิงก์จะชี้โดยตรงไปยังไฟล์ปฏิบัติการที่เซ็นชื่อแบบดิจิทัลโดยมีกราฟิก Adobe PDF เป็นไอคอน ไฟล์เหล่านี้มักจะขยายอุบายโดยมีชื่อเช่น presentation-document.exe, preview-document- [number] .exe หรือ annualreport.exe นักวิจัยตั้งข้อสังเกต
‘BazarCall’ แคมเปญ
ในแคมเปญที่สอง Sophos พบว่าข้อความสแปมนั้นปราศจากสิ่งที่น่าสงสัย: ไม่มีข้อมูลส่วนบุคคลใด ๆ รวมอยู่ในเนื้อหาของอีเมลไม่มีลิงก์และไม่มีไฟล์แนบ
“ข้อความทั้งหมดอ้างว่าการทดลองใช้ฟรีสำหรับบริการออนไลน์ที่ผู้รับอ้างว่ากำลังใช้อยู่จะหมดอายุในวันถัดไปหรือสองวันถัดไปและฝังหมายเลขโทรศัพท์ที่ผู้รับต้องโทรเพื่อที่จะเลือกไม่รับบริการที่มีค่าใช้จ่ายสูง การต่ออายุ” นักวิจัยอธิบาย
หากเป้าหมายตัดสินใจที่จะรับโทรศัพท์บุคคลที่เป็นมิตรอีกด้านหนึ่งจะให้ที่อยู่เว็บไซต์แก่พวกเขาซึ่งในไม่ช้าผู้ตกเป็นเหยื่ออาจยกเลิกการสมัครรับบริการได้
“เว็บไซต์ที่ออกแบบมาอย่างดีและดูเป็นมืออาชีพฝังปุ่มยกเลิกการสมัครไว้ในหน้าคำถามที่พบบ่อย” Sophos กล่าว “ การคลิกปุ่มนั้นจะส่งเอกสาร Office ที่เป็นอันตราย (ไม่ว่าจะเป็นเอกสาร Word หรือสเปรดชีต Excel) ซึ่งเมื่อเปิดขึ้นจะทำให้คอมพิวเตอร์ติดมัลแวร์ BazarLoader เดียวกัน”
ที่มา : https://threatpost.com
บทความที่เกี่ยวข้อง
กฎหมาย
กรณีศึกษา
ข่าว
Google เตรียมลบบันทึกการท่องเว็บนับพันล้านรายการ ตามข้อตกลงยุติคดีความเป็นส่วนตัว ‘โหมดไม่ระบุตัวตน’
Google ได้ตกลงที่จะล้างบันทึกข้อมูลนับพันล้านรายการ ที่แสดงกิจกรรมการท่องเว็บไซต์ของผู้ใช้งาน เพื่อยุติคดีที่ถูกฟ้องร้องว่า Google ได้ทำการติดตามกิจกรรมของพวกเขา
2024.04.23
กรณีศึกษา
ข่าว
ความปลอดภัย
Top 10 Brands ที่ถูกแอบอ้างมากที่สุด เพื่อใช้ในการหลอกลวงแบบฟิชชิ่ง ในไตรมาสที่ 1 ของปี 2024
โดยรายชื่อแบรนด์ 10 อันดับแรก ที่ถูกแอบอ้างเพื่อใช้ในการหลอกลวงแบบฟิชชิ่ง ในไตรมาสที่ 1 ของปี 2024 ได้แก่
2024.04.18
ข่าว
ความปลอดภัย
ข้อควรพิจารณาสำหรับความปลอดภัยทางไซเบอร์ของปฏิบัติการเทคโนโลยี
เทคโนโลยีการดำเนินงาน (OT) หมายถึงฮาร์ดแวร์และซอฟต์แวร์ที่ใช้ในการเปลี่ยนแปลง ตรวจสอบ หรือควบคุมอุปกรณ์ กระบวนการ และเหตุการณ์ทางกายภาพขององค์กร ต่างจากระบบเทคโนโลยีสารสนเทศ (IT) แบบดั้งเดิม ระบบ OT ส่งผลโดยตรงต่อโลกทางกายภาพ คุณลักษณะเฉพาะของ OT นี้นำมาซึ่งข้อควรพิจารณาด้านความปลอดภัยทางไซเบอร์เพิ่มเติมซึ่งปกติแล้วจะไม่มีอยู่ในสถาปัตยกรรมความปลอดภัยด้านไอทีทั่วไป การบรรจบกันของ IT และ OT ในอดีต ไอทีและเทคโนโลยีการดำเนินงาน (OT) ดำเนินการแยกจากกัน โดยแต่ละแห่งมีชุดโปรโตคอล มาตรฐาน และมาตรการรักษาความปลอดภัยทางไซเบอร์ของตัวเอง อย่างไรก็ตาม โดเมนทั้งสองนี้มาบรรจบกันมากขึ้นกับการกำเนิดของ Industrial Internet of Things (IIoT) แม้ว่าประโยชน์ในแง่ของประสิทธิภาพที่เพิ่มขึ้นและการตัดสินใจที่ขับเคลื่อนด้วยข้อมูล การบรรจบกันนี้ยังทำให้ระบบ OT เผชิญกับภัยคุกคามทางไซเบอร์แบบเดียวกับที่ระบบไอทีเผชิญ
2024.04.05
