DesckVB RAT เวอร์ชัน 2.9 ซึ่งเป็น Remote Access Trojan (RAT) แบบโมดูลาร์ที่สร้างขึ้นบนเฟรมเวิร์ก .NET ได้รับการตรวจพบในการโจมตีมัลแวร์ในช่วงต้นปี 2026 มัลแวร์นี้ถูกออกแบบมาเพื่อสร้างการควบคุมระบบที่ติดเชื้ออย่างถาวรและซ่อนเร้น หลีกเลี่ยงกลไกการป้องกันแบบเดิมๆ ด้วยการใช้ห่วงโซ่การติดเชื้อหลายขั้นตอนและการโหลดโค้ดแบบไร้ไฟล์ ทำให้การตรวจจับและการวิเคราะห์ทางนิติวิทยาศาสตร์เป็นไปได้ยากขึ้นอย่างมาก
Severity: สูง
System Impact:
- ระบบปฏิบัติการ Windows (ผ่าน Windows Script Host, PowerShell)
- ระบบที่ถูกบุกรุกโดยทั่วไป
Technical Attack Steps:
- การติดเชื้อเริ่มต้นด้วยไฟล์ JavaScript ของ Windows Script Host (WSH) ที่ถูกเข้ารหัสอย่างมาก
- สคริปต์ WSH นี้จะคัดลอกตัวเองไปยังไดเรกทอรีผู้ใช้สาธารณะและดำเนินการผ่าน wscript.exe เพื่อปกปิดกิจกรรม
- ขั้นตอน PowerShell จะทำการตรวจสอบเพื่อต่อต้านการวิเคราะห์อย่างเข้มงวด เช่น การตรวจสอบการเชื่อมต่ออินเทอร์เน็ตและการสแกนหาเครื่องมือดีบัก เพื่อหลีกเลี่ยง Sandbox
- หลังจากยืนยันว่าสภาพแวดล้อมปลอดภัย จะดาวน์โหลดส่วนประกอบมัลแวร์หลัก
- ใช้ตัวโหลด .NET แบบไร้ไฟล์ (fileless .NET loader) ซึ่งรันโดยตรงในหน่วยความจำโดยไม่ทิ้งร่องรอยทางกายภาพบนดิสก์ ทำให้หลีกเลี่ยงการสแกนไฟล์แบบสถิติได้
- มีการติดตั้งปลั๊กอินแบบโมดูลาร์เพื่อขยายความสามารถ เช่น keylogger, webcam streamer และ antivirus enumerator โดยใช้โปรโตคอล TCP แบบกำหนดเอง
Recommendations:
Short Term:
- เฝ้าระวังการทำงานที่ผิดปกติของ wscript.exe
- เฝ้าระวังสคริปต์ PowerShell ที่สร้างอาร์เรย์ไบต์ทศนิยม
Long Term:
- ปรับแต่งระบบ Endpoint Detection and Response (EDR) ให้สามารถตรวจจับการโหลดโค้ดแบบ Reflective Code Loading
- เน้นการตรวจจับพฤติกรรมที่ผิดปกติบนระบบ
Source: https://cybersecuritynews.com/new-desckvb-rat-with-multi-stage-infection-chain/
Share this content: