เตือนภัย !! มัลแวร์ขุดเงินดิจิตอล Monero ระบาดในไทย

เตือนภัย !! มัลแวร์ขุดเงินดิจิตอล Monero ระบาดในไทย ซึ่งเมื่อวันที่ 24 มกราคม 2561 ทีมนักวิจัยของ Palo Alto Networks เผยแพร่ข้อมูลพบว่ามีมัลแวร์ที่ใช้ขุดเงินดิจิทัล (Cryptocurrency) สกุลเงิน Monero  ซึ่งเป็นเหรียญที่ใช้เทคโนโลยีของ Blockchain ในการรับส่ง

เหรียญดังกล่าวมีคุณสมบัติในการปกปิดข้อมูลที่อยู่บน Blockchain รวมถึงรองรับการขุดเครื่องคอมพิวเตอร์โดยทั่วไปที่ไม่ต้องการใช้ประมวลผลมาก เมื่อเทียบกับเหรียญอื่นๆ จึงอาจเป็นตัวเลือกที่ผู้ประสงค์ร้ายใช้เหรียญนี้
โดยในช่วงเดือนตุลาคมถึงธันวาคม 2560 พบว่ามัลแวร์ดังกล่าว มียอดดาวน์โหลดมากกว่า 15 ล้านครั้ง ที่น่ากังวลคือประเทศไทยมีการดาวน์โหลดสูงที่สุดกว่า 3.5 ล้านครั้ง


รูปที่ 1 จำนวนการดาวน์โหลดมัลแวร์ดังกล่าวทั่วโลก

 

มัลแวร์ดังกล่าวแพร่กระจายผ่านลิงก์อันตราย เมื่อคลิกติดตั้งแล้วจะส่งผลทำให้เครื่องคอมพิวเตอร์ทำงานช้าลง เนื่องจาก CPU จะต้องสลับงานที่ทำปกติ ไปประมวลผลการถอดรหัสต้องไปประมวลผลถอดรหัสจากการขุดเหรียญ Monero ให้กับผู้ประสงค์ร้าย
การแฮกเครื่องคอมพิวเตอร์ หรืออุปกรณ์ที่สามารถเชื่อมต่ออินเทอร์เน็ตได้ (Internet of Things) เพื่อใช้ติดตั้งมัลแวร์ขุดเงินดิจิทัลนั้นเริ่มมีแนวโน้มสูงมากขึ้นในปัจจุบัน เนื่องจากความสามารถในการปกปิดข้อมูลเจ้าของบัญชีเงิน และสามารถนำเงินไปใช้ในตลาดมืดได้โดยตรวจสอบติดตามได้ยาก ผู้ใช้หรือผู้ดูแลระบบควรตรวจสอบความผิดปกติ เช่น โพรเซสที่ใช้ CPU สูง เพื่อป้องกันการถูกนำเครื่องคอมพิวเตอร์มาใช้โดยไม่ได้รับอนุญาต

ช่องทางการแพร่กระจายของมัลแวร์

การแพร่กระจายที่พบเกิดจากผู้ประสงค์ร้ายนำมัลแวร์ไปฝากไว้บนบริการฝากไฟล์บนคลาวด์ตามที่ต่างๆ และมีการใช้งานบริการย่อลิงก์ให้สั้น เช่น bit.ly ในการสร้างลิงก์สำหรับเผยแพร่มัลแวร์ ซึ่งหากเหยื่อคลิกลิงก์จะส่งผลให้ไฟล์ที่เป็นมัลแวร์ถูกดาวน์โหลดลงในเครื่อง โดยรูปแบบการเผยแพร่ อาจเกิดจากมีการแจกไฟล์ต่างๆ ที่ดึงดูดให้ผู้ใช้งานทำการดาวน์โหลดและติดตั้ง เช่น แจกซอฟต์แวร์ฟรี ซอฟต์แวร์โกงเกมส์ เป็นต้น

การทำงานของมัลแวร์

ผู้ประสงค์ร้ายมีการทดลองเปลี่ยนแปลงรูปแบบการเผยแพร่มัลแวร์อยู่เป็นระยะ เริ่มจากผู้ใช้งานทำการคลิกลิงก์ของผู้ประสงค์ร้าย ส่งผลให้ทำการดาวน์โหลดมัลแวร์ไปยังเครื่องผู้ใช้งาน โดยขั้นตอนการดาวน์โหลดที่ทีมนักวิจัยของ Palo Alto Networks พบนั้นมีความแตกต่างกันไปตามรุ่นของมัลแวร์ ดังนี้
แบบที่ 1

  • เมื่อผู้ใช้งานคลิกลิงก์ bit.ly แล้วจะทำการดาวน์โหลดไฟล์สคริปต์ประเภท VBScript ไปยังเครื่องผู้ใช้งานทันที
  • ไฟล์ดังกล่าวจะสั่งเครื่องมือ BITSAdmin บนระบบปฏิบัติการ Windows เพื่อดาวน์โหลดสคริปต์ที่สอง
  • สคริปต์ที่สองจะตรวจสอบระบบปฏิบัติการว่าเป็นเวอร์ชัน 32 หรือ 64 บิต จากนั้นจะดาวน์โหลดและติดตั้งเวอร์ชันที่เหมาะสมของ XMRig ซึ่งเป็นเครื่องมือสำหรับขุดเงิน


รูปที่ 2 ขั้นตอนการดาวน์โหลดมัลแวร์โดยใช้เครื่องมือ BITSAdmin บนระบบปฏิบัติการ Windows

 

แบบที่ 2

  • คล้ายรูปแบบที่ 1 แต่เปลี่ยนรูปแบบการดาวน์โหลดสคริปต์ที่สองจากการใช้ BITSAdmin เป็นการดาวน์โหลดผ่าน HTTP

รูปที่ 3 ขั้นตอนการดาวน์โหลดมัลแวร์โดยอาศัยการเปลี่ยนเส้นทางไปยังเว็บไซต์ต่าง ๆ ก่อนพาไปยังเว็บไซต์ที่มีมัลแวร์จริงอยู่เพื่อดาวน์โลด

นอกจากนี้ภายหลังยังมีการเปลียนแปลงรูปแบบการเผยแพร่อย่างต่อเนื่อง เช่น มีการใช้ .Net Framework เพื่อ Compile ไฟล์ที่ใช้สำหรับเผยแพร่ลงในเครื่องผู้ใช้ ซึ่งจะสร้างสคริปต์สำหรับดาวน์โหลดมัลแวร์ต่ออีกที รายละเอียดศึกษาได้จากรายงานอ้างอิง [2]

มัลแวร์สำหรับขุดเงินที่ถูกดาวน์โหลดแล้วนั้น โดยส่วนใหญ่พบว่ามีการติดตั้งไว้ภายใต้โฟลเดอร์ย่อยชื่อ “msvc” ซึ่งอยู่ในโฟลเดอร์ “%APPDATA%” และใช้ชื่อไฟล์ “msvc.exe” “winmsvc.exe” หรือ “ondrive.exe” เป็นต้น จากนั้นเมื่อมัลแวร์เริ่มทำงานจะเรียกใช้พร็อกซี่ (XMRig proxies) ในการเชื่อมต่อไปยังเซิร์ฟเวอร์ปลายทางที่รับข้อมูลในการประมวลผลขุดเหรียญ ซึ่งการใช้พร็อกซี่ดังกล่าวทำให้ไม่สามารถตรวจสอบที่อยู่กระเป๋าเงินดิจิทัลของผู้ประสงค์ร้ายที่รับเงินจากการขุด จึงยากที่จะระบุว่าผู้ประสงค์ร้ายได้เงินจากเผยแพร่มัลแวร์ดังกล่าวมากน้อยเพียงใด

ข้อแนะนำในการตรวจสอบ

  • เบื่องต้นให้ทำการตรวจสอบว่าคอมพิวเตอร์ที่ใช้งานมีการทำงาน CPU ผิดปกติหรือไม่ โดยการตรวจสอบผ่าน Task Manager หากพบการทำงานของ CPU ผิดปกติเช่น การทำงาน 100% อยู่ตลอดเวลาให้ต้องสงสัยว่าอาจจะติดมัลแวร์ดังกล่าวอยู่ โดยตรวจสอบได้จากโปรแกรม Task Manager ที่มาพร้อมกับระบบปฏิบัติการ Windows

รูปที่ 4 โปรแกรม Task Manager สำหรับตรวจสอบการใช้งาน CPU

  • ตรวจสอบเครือข่ายว่ามีการเขื่อมต่อไปยังเซิร์ฟเวอร์พร็อกซี่ (XMRig Proxy Connections) ที่ใช้ในการประมวลผลขุดเหรียญดังกล่าวหรือไม่ โดยมีข้อมูลของรายการเซิร์ฟเวอร์ดังนี้
หมายเลขไอพีปลายทางพอร์ตปลายทาง
5.101.122.2288080
5.23.48.2077777
144.76.201.17580
144.76.201.1758080
f.pooling.cf80
b.pool.gq80
a.pool.ml8080
a.pool.ml123
a.pool.ml443
a.pool.ml8443
a.pool.ml80
a.pool.ml1725

ตารางที่ 1 ข้อมูลเซิร์ฟเวอร์พร็อกซี่ (XMRig Proxy) ที่ใช้ในการประมวลผลขุดเหรียญ

  • ตรวจสอบประวัติการใช้งานอินเทอร์เน็ตว่ามีการเข้าลิงก์สำหรับเผยแพร่มัลแวร์หรือไม่ โดยมีรายการลิงก์ดังนี้
    • hxxp://bit[.]ly/2j3Yk8p
    • hxxp://bit[.]ly/2hxuusK
    • hxxp://bit[.]ly/2C7caP6
    • hxxp://bit[.]ly/HSGADGFDS
    • hxxp://bit[.]ly/2yV0JNa
    • hxxp://bit[.]ly/2Algzhc
    • hxxp://bit[.]ly/2zA08wz
    • hxxp://bit[.]ly/2hcsSUN
    • hxxp://bit[.]ly/2hr6KGb
    • hxxp://bit[.]ly/2xOVfPH
    • hxxp://bit[.]ly/2BoFNMr
    • hxxp://bit[.]ly/2xlWVQl
    • hxxp://bit[.]ly/2kEApR6
    • hxxp://bit[.]ly/2AkVK8t
    • hxxp://bit[.]ly/2yyUhLX
    • hxxp://bit[.]ly/2AkyUvs
    • hxxp://bit[.]ly/2zXRI6r
    • hxxp://bit[.]ly/2jjXmbJ
    • hxxp://bit[.]ly/2hzW6Rb
    • hxxp://bit[.]ly/2mkHzdP
    • hxxp://bit[.]ly/FSJKHJK
    • hxxp://bit[.]ly/2gB0ZW0
    • hxxp://bit[.]ly/2ixSCPu
    • hxxp://bit[.]ly/FSFSAASA
    • hxxp://bit[.]ly/2A5rxKB
    • hxxp://bit[.]ly/2xbUmjC
    • hxxp://bit[.]ly/2EHv415
    • hxxp://bit[.]ly/2Aq3gja
    • hxxp://bit[.]ly/2Bhr1tv
    • hxxp://bit[.]ly/2ynGl7o
    • hxxp://bit[.]ly/SOURCETXT
    • hxxp://bit[.]ly/2zGXAQx
    • hxxp://bit[.]ly/2hEhF3i
    • hxxp://bit[.]ly/2y3iGnG
    • hxxp://bit[.]ly/2ic2mvM
    • hxxp://bit[.]ly/2itoMrG
    • hxxp://bit[.]ly/2yvqOSU
    • hxxp://bit[.]ly/2zCj1n2
    • hxxp://bit[.]ly/2jEqYks
  • ตรวจสอบไฟล์ที่ต้องสงสัย จากค่า Hash ของไฟล์มัลแวร์ในรายงาน หรือตรวจสอบภายใต้โฟลเดอร์ “%APPDATA%” หากพบไฟล์ที่มีชื่อ “msvc.exe” “winmsvc.exe” หรือ “ondrive.exe” ให้ดำเนินการลบทิ้ง

 

ที่มา : thaicert

Facebook Comments
%d bloggers like this: