ผู้โจมตีซ่อน Payload ของ PURELOGS อย่างแนบเนียนในไฟล์ PNG ที่ถูกดัดแปลง

การโจมตีทางไซเบอร์ที่ค้นพบใหม่นี้เผยให้เห็นวิธีการส่งมัลแวร์ PURELOGS infostealer ที่ซับซ้อน ผู้โจมตีใช้ไฟล์ PNG ที่ถูกดัดแปลง (weaponized PNG) ซึ่งโฮสต์อยู่บนโครงสร้างพื้นฐานที่ถูกกฎหมาย (เช่น archive.org) เพื่อหลบเลี่ยงการตรวจจับและส่ง Payload มัลแวร์ โดยการโจมตีเริ่มต้นด้วยอีเมลฟิชชิ่งที่ปลอมเป็นใบแจ้งหนี้ยา ซึ่งมีไฟล์ ZIP ที่เป็นอันตราย ภายในมี JScript dropper ที่จะดาวน์โหลดไฟล์ PNG ที่ซ่อน Payload Base64 ไว้ จากนั้น Payload จะถูกถอดรหัสและดำเนินการโดยตรงในหน่วยความจำผ่าน PowerShell ทำให้ยากต่อการตรวจจับด้วยวิธีการแบบเดิม PURELOGS เป็นมัลแวร์ในรูปแบบบริการ (Malware-as-a-Service) ที่มีค่าใช้จ่ายเริ่มต้นเพียง 150 ดอลลาร์ต่อเดือน ทำให้ผู้โจมตีทั้งมืออาชีพและมือใหม่สามารถเข้าถึงได้

Severity: สูง

System Impact:

• ระบบปลายทาง (Endpoints) ที่เปิดอีเมลฟิชชิ่งและรันสคริปต์
• ระบบความปลอดภัยแบบดั้งเดิม (Antivirus, การตรวจจับด้วยแฮชไฟล์) เนื่องจากเป็นการโจมตีแบบ Fileless และใช้โครงสร้างพื้นฐานที่น่าเชื่อถือ
• ข้อมูลของผู้ใช้ (ข้อมูลส่วนบุคคล, ข้อมูลประจำตัว, ข้อมูลทางการเงิน) ที่ PURELOGS infostealer มุ่งเป้าในการขโมย

Technical Attack Steps:

1. การโจมตีเริ่มต้นด้วยอีเมลฟิชชิ่งที่ปลอมเป็นใบแจ้งหนี้ยาหลอกลวง
2. อีเมลมีไฟล์ ZIP ที่เป็นอันตราย ซึ่งภายในบรรจุ JScript dropper
3. JScript dropper จะติดต่อและดาวน์โหลดสิ่งที่ดูเหมือนจะเป็นไฟล์ภาพ PNG ทั่วไปจากเว็บไซต์ที่น่าเชื่อถือ (เช่น archive.org)
4. ไฟล์ PNG นี้ถูก ‘weaponized’ โดยการซ่อน Payload ที่เข้ารหัส Base64 ไว้หลังจากส่วน IEND ซึ่งเป็นจุดสิ้นสุดของข้อมูลภาพ PNG อย่างเป็นทางการ โดยมีเครื่องหมาย ‘BaseStart-‘ และ ‘-BaseEnd’ กำกับอยู่
5. มัลแวร์จะใช้ Regular Expression เพื่อค้นหาและแยก Payload ที่ซ่อนอยู่ภายในไฟล์ PNG
6. Payload ที่แยกออกมาจะถูกถอดรหัส Base64 และโหลด Assembly โดยตรงเข้าสู่หน่วยความจำโดยใช้ .NET Reflection
7. กระบวนการ PowerShell จะเปิดสภาพแวดล้อมการทำงานแบบซ่อนและรัน Payload ที่ถอดรหัสแล้วผ่านคำสั่ง Invoke-Expression โดยไม่มีการเขียนไฟล์ปฏิบัติการลงบนดิสก์
8. PURELOGS infostealer เริ่มดำเนินการขโมยข้อมูลจากระบบที่ติดเชื้อ

Recommendations:

Short Term:

• เพิ่มความตระหนักและการฝึกอบรมแก่ผู้ใช้งานเกี่ยวกับภัยคุกคามฟิชชิ่ง โดยเฉพาะการตรวจสอบไฟล์แนบจากอีเมลที่ไม่รู้จักหรือไม่น่าเชื่อถือ
• ใช้ระบบกรองอีเมล (Email Filtering) ที่มีประสิทธิภาพสูงเพื่อตรวจจับและบล็อกอีเมลฟิชชิ่งและไฟล์แนบที่เป็นอันตราย
• ปรับปรุงระบบ Endpoint Detection and Response (EDR) หรือ Extended Detection and Response (XDR) ให้สามารถตรวจจับกิจกรรมของสคริปต์และพฤติกรรมที่ผิดปกติในหน่วยความจำ เพื่อรับมือกับการโจมตีแบบ Fileless
• ตรวจสอบการเชื่อมต่อเครือข่ายไปยังโดเมนที่ถูกกฎหมายแต่ถูกใช้ในทางที่ผิด (เช่น archive.org) อย่างละเอียดเพื่อหารูปแบบการดาวน์โหลดหรือการสื่อสารที่ผิดปกติ

Long Term:

• ลงทุนในโซลูชันความปลอดภัยขั้นสูงที่ใช้การวิเคราะห์พฤติกรรม (Behavioral Analysis) และ Machine Learning เพื่อตรวจจับภัยคุกคามที่ไม่รู้จักหรือซับซ้อน
• ใช้การวิเคราะห์หน่วยความจำ (Memory Forensics) เป็นส่วนหนึ่งของกระบวนการตอบสนองต่อเหตุการณ์เพื่อตรวจจับมัลแวร์ที่ทำงานในหน่วยความจำ
• กำหนดและบังคับใช้นโยบายการควบคุมแอปพลิเคชัน (Application Whitelisting) และนโยบายการดำเนินการสคริปต์ (Script Execution Policies) ที่เข้มงวด
• ประเมินและเสริมสร้างความปลอดภัยของห่วงโซ่อุปทาน (Supply Chain Security) รวมถึงการตรวจสอบช่องโหว่ในซอฟต์แวร์และบริการของบุคคลที่สามที่ใช้

Source: https://cybersecuritynews.com/threat-actors-hiding-stealthy-purelogs-payload/