xRAT Malware Attacking Windows Users Disguised as Adult Game

มัลแวร์ xRAT (หรือที่รู้จักกันในชื่อ QuasarRAT) กำลังแพร่ระบาดโดยกำหนดเป้าหมายผู้ใช้ Windows ในประเทศเกาหลีใต้ ผ่านบริการแชร์ไฟล์ ‘webhard’ โดยปลอมตัวเป็นเกมสำหรับผู้ใหญ่หลอกลวง ศูนย์ข่าวกรองความปลอดภัย Ahnlab ได้ระบุว่าโทรจันควบคุมระยะไกล (RAT) นี้ใช้เทคนิคการหลบเลี่ยงที่ซับซ้อนและการหลอกลวงทางสังคม ทำให้เป็นภัยคุกคามที่อันตรายอย่างยิ่งสำหรับผู้ใช้ทั่วไป มัลแวร์นี้สามารถรวบรวมข้อมูลระบบ ตรวจสอบการกดแป้นพิมพ์ และทำการถ่ายโอนไฟล์โดยไม่ได้รับอนุญาต

Severity: วิกฤต

System Impact:

• Windows Operating Systems

Technical Attack Steps:

1. การกระจายเริ่มต้น: ผู้ไม่หวังดีอัปโหลดไฟล์ ZIP ที่ปลอมตัวเป็นเกมสำหรับผู้ใหญ่ไปยังบริการแชร์ไฟล์ webhard ในประเทศเกาหลีใต้
2. การหลอกลวงผู้ใช้: ผู้ใช้ดาวน์โหลดและรันไฟล์ ‘Game.exe’ จากไฟล์ ZIP โดยเชื่อว่าเป็นแอปพลิเคชันเกมที่ถูกต้อง
3. การติดตั้งมัลแวร์: ‘Game.exe’ ทำหน้าที่เป็นตัวเปิดใช้ โดยจะคัดลอก ‘Data1.Pak’ ไปยังโฟลเดอร์ ‘Locales_module’ ในชื่อ ‘Play.exe’ พร้อมกันนั้นจะติดตั้ง ‘Data2.Pak’ และ ‘Data3.Pak’ ไปยังไดเรกทอรี Windows Explorer ในชื่อ ‘GoogleUpdate.exe’ และ ‘WinUpdate.db’ ตามลำดับ
4. การแตกและการฉีดเชลล์โค้ด: ‘GoogleUpdate.exe’ ทำงานเพื่อถอดรหัส ‘WinUpdate.db’ (ด้วยการเข้ารหัส AES) เพื่อดึงเชลล์โค้ดสุดท้ายออกมา จากนั้นเชลล์โค้ดนี้จะถูกฉีดเข้าไปใน ‘explorer.exe’
5. เทคนิคการหลบเลี่ยง: มัลแวร์ทำการแพทช์ฟังก์ชัน ‘EtwEventWrite’ ใน ‘explorer.exe’ ด้วยคำสั่งคืนค่า ซึ่งปิดใช้งานการบันทึก Event Tracing for Windows เพื่อหลีกเลี่ยงการตรวจจับ
6. การรันเพย์โหลด xRAT: โค้ดที่ถูกฉีดเข้าไปในขั้นสุดท้ายคือเพย์โหลด xRAT ซึ่งเริ่มดำเนินการที่เป็นอันตราย
7. การดำเนินการที่เป็นอันตราย: xRAT จะรวบรวมข้อมูลระบบ ตรวจสอบการกดแป้นพิมพ์ และถ่ายโอนไฟล์โดยไม่ได้รับอนุญาต

Recommendations:

Short Term:

• ดาวน์โหลดโปรแกรมจากแหล่งที่มาที่เป็นทางการและเชื่อถือได้เท่านั้น
• ใช้ความระมัดระวังอย่างสูงสุดเมื่อเข้าถึงและดาวน์โหลดไฟล์จากเว็บไซต์แชร์ไฟล์ (เช่น บริการ webhard)
• อัปเดตซอฟต์แวร์ป้องกันไวรัส/โซลูชันตรวจจับและตอบสนองที่ปลายทาง (EDR) อย่างสม่ำเสมอ และตรวจสอบให้แน่ใจว่าการสแกนแบบเรียลไทม์ทำงานอยู่
• ให้ความรู้แก่ผู้ใช้เกี่ยวกับอันตรายของไฟล์ที่เป็นอันตรายที่ปลอมตัวมาและกลยุทธ์การหลอกลวงทางสังคม

Long Term:

• ใช้การขึ้นบัญชีขาวของแอปพลิเคชัน (Application Whitelisting) เพื่อป้องกันไม่ให้ไฟล์ปฏิบัติการที่ไม่ได้รับอนุญาตทำงาน
• ใช้ระบบตรวจจับภัยคุกคามขั้นสูงที่สามารถระบุเทคนิคการหลบเลี่ยงที่ซับซ้อน เช่น การแพทช์ฟังก์ชัน EtwEventWrite
• จัดการฝึกอบรมสร้างความตระหนักด้านความปลอดภัยอย่างสม่ำเสมอสำหรับผู้ใช้ทุกคน
• สำรองข้อมูลสำคัญอย่างสม่ำเสมอ
• ใช้การแบ่งเครือข่าย (Network Segmentation) และการควบคุมการเข้าถึงที่แข็งแกร่ง

Source: https://cybersecuritynews.com/xrat-malware-attacking-windows-users/