แคมเปญมัลแวร์ที่ถูกค้นพบใหม่นี้แสดงให้เห็นถึงวิธีการที่ซับซ้อนในการส่งมัลแวร์ขโมยข้อมูล โดยใช้การผสมผสานระหว่างเทคนิค Social Engineering และส่วนประกอบ Windows ที่ถูกต้องตามกฎหมาย การโจมตีเริ่มต้นด้วยหน้าจอ CAPTCHA ปลอมที่หลอกให้ผู้ใช้รันคำสั่งด้วยตนเองผ่าน Windows Run dialog โดยอ้างว่าเป็นขั้นตอนการยืนยันที่จำเป็น แทนที่จะใช้วิธีการรัน PowerShell แบบดั้งเดิมที่เครื่องมือรักษาความปลอดภัยมักจะตรวจสอบ ผู้โจมตีใช้ประโยชน์จากเฟรมเวิร์ก Microsoft Application Virtualization (App-V) เพื่อหลีกเลี่ยงการตรวจจับ การออกแบบที่จงใจนี้ทำให้การโจมตีวิเคราะห์ได้ยากขึ้นในสภาพแวดล้อมแบบ Sandbox และลดโอกาสในการเรียกใช้การแจ้งเตือนด้านความปลอดภัย.
Severity: วิกฤต
System Impact:
- ระบบปฏิบัติการ Windows 10 (รุ่น Enterprise และ Education)
- ระบบปฏิบัติการ Windows 11 (รุ่น Enterprise และ Education)
- เครื่องมือรักษาความปลอดภัย (โดยเฉพาะที่ตรวจสอบเส้นทางการรัน PowerShell แบบดั้งเดิม)
Technical Attack Steps:
- ผู้ใช้ถูกหลอกด้วย CAPTCHA ปลอม ให้ป้อนและรันคำสั่งผ่าน Windows Run dialog โดยเชื่อว่าเป็นขั้นตอนการยืนยันตัวตน.
- คำสั่งจะเรียกใช้ SyncAppvPublishingServer.vbs ซึ่งเป็นสคริปต์ที่ถูกต้องของ Microsoft App-V แทนการเปิด PowerShell โดยตรง เพื่อหลีกเลี่ยงการตรวจจับเครื่องมือรักษาความปลอดภัย.
- คำสั่งเริ่มต้นตั้งค่าตัวแปรสภาพแวดล้อมชั่วคราวชื่อ ALLUSERSPROFILE_X เพื่อทำหน้าที่เป็นเครื่องหมายยืนยันว่าผู้ใช้รันคำสั่งด้วยตนเอง.
- Loader ของมัลแวร์จะบังคับใช้การตรวจสอบโดยใช้คลิปบอร์ด โดยค้นหาเครื่องหมาย ALLUSERSPROFILE_X หากไม่พบ สคริปต์จะแสดงข้อความหลอกและเข้าสู่สถานะรอไม่สิ้นสุด (infinite wait state) เพื่อขัดขวางการวิเคราะห์ใน Sandbox.
- เมื่อการตรวจสอบเครื่องหมายผ่านไป การทำงานจะดำเนินต่อไปเพื่อดึงข้อมูลการกำหนดค่าจากไฟล์ Google Calendar สาธารณะ ทำให้ผู้โจมตีสามารถอัปเดต logic การส่งมัลแวร์ได้.
- มีการใช้เทคนิคการซ่อน PowerShell (obfuscation) โดยการสร้างฟังก์ชันการทำงานที่ละเอียดอ่อน ณ เวลาที่รันด้วยการใช้นามแฝง (aliases) และการแก้ไข Wildcard (เช่น ‘gal’ สำหรับ Get-Alias และ ‘iex’ สำหรับ Invoke-Expression).
- ในที่สุด มัลแวร์ Amatera Stealer จะถูกส่งและติดตั้งบนระบบที่ตกเป็นเหยื่อเพื่อขโมยข้อมูล.
Recommendations:
Short Term:
- ให้ความรู้แก่ผู้ใช้เกี่ยวกับกลโกง CAPTCHA ปลอมและอันตรายของการรันคำสั่งที่ไม่รู้จักใน Windows Run dialog.
- เฝ้าระวังการทำงานของกระบวนการที่ผิดปกติในระบบ โดยเฉพาะที่เกี่ยวข้องกับ wscript.exe และส่วนประกอบของ App-V ซึ่งอาจบ่งชี้ถึงการใช้งานที่น่าสงสัย.
- แนะนำให้ผู้ใช้ระมัดระวังเป็นพิเศษเมื่อเว็บไซต์ขอให้รันคำสั่งเพื่อ ‘ยืนยันตัวตน’ หรือ ‘แก้ไขปัญหา’.
Long Term:
- นำโซลูชัน Endpoint Detection and Response (EDR) ที่ครอบคลุมมาใช้เพื่อตรวจจับพฤติกรรมการโจมตีที่ซับซ้อน รวมถึงการใช้เครื่องมือระบบที่ถูกต้องตามกฎหมายในทางที่ผิด.
- จัดให้มีการฝึกอบรมด้านความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์อย่างต่อเนื่องสำหรับพนักงาน โดยเน้นย้ำถึงเทคนิค Social Engineering และวิธีการหลีกเลี่ยง.
- พิจารณาใช้ Application Whitelisting เพื่อจำกัดการรันโปรแกรมและสคริปต์ที่ไม่ได้รับอนุญาตบนอุปกรณ์ปลายทาง.
- ตรวจสอบและเสริมสร้างนโยบายความปลอดภัยสำหรับ Microsoft Application Virtualization (App-V) หากองค์กรใช้งาน App-V เพื่อลดความเสี่ยงจากการถูกโจมตี.
- ตรวจสอบให้แน่ใจว่าระบบปฏิบัติการและซอฟต์แวร์ทั้งหมดได้รับการอัปเดตด้วยแพตช์ความปลอดภัยล่าสุดอย่างสม่ำเสมอ.
Source: https://cybersecuritynews.com/fake-captcha-attack-leverages-microsoft-application-virtualization/
Share this content: