แก๊งค์จีน DNSCalc ใช้ Dropbox และ WordPress เป็นเครื่องมือในการเผยแพร่มัลแวร์ในรอบ 12 เดือนที่ผ่านมา แม้เทคนิคจะไม่ได้ซับซ้อนอะไรแต่ก็ควรจะระวังตัวกันให้ดีๆ

 

แก๊งค์นี้เป็นหนึ่งใน 20 แก็งค์ที่ถูกระบุตัวโดย Mandiant บริษัทด้านความปลอดภัย ว่าเป็นกลุ่มทำการโจมตีทางไซเบอร์เพื่อขโมยข้อมูล แฮคเกอร์ไม่ได้ทำการเจาะช่องโหว่ของ Dropbox หรือ WordPress แต่พวกเค้าเลือกเปิดบัญชีผู้ใช้ แล้วใช้บริการทั้งสองอย่างนี้เป็นเครื่องมือ

เค้าจะทำการอัพโหลดไฟล์ ZIP ที่มัมัลแวร์ขึ้นไปบน Dropbox โดยทำให้คนอื่นเข้าใจว่าไฟล์นี้เป็นเอการของ U.S.-ASEAN Business Council เผยแพร่สำหรับผู้ที่สนใจการทำธุรกิจ ต่อจากนั้นก็ส่งไปยังบริษัทเป้าหมายที่ต้องการขโมยข้อมูล

เหมือเหยื่อหลงเชื่อ unzip ไฟล์ออกมาก็จะเห็นไฟล์ชื่อว่า “2013 US-ASEAN Business Council Statement of Priorities in the US-ASEAN Commercial Relationship Policy Paper.scr.” เมื่อคลิกที่ไฟล์นี้ก็จะเป็นการเปิด PDF ขึ้นมา

ในขณะเดียวกันมัลแวร์ที่ทำงานอยู่เบื้องหลังก็จะเปิด backdoor ไปยัง host computer เมื่อประตูถูกเปิดขึ้นมัลแวร์ก็จะพาไปยังบล็อกบน WordPress ที่สร้างโดยแฮคเกอร์ ในบล็อกนี้จะมีทั้ง IP address และ port number of a command และ control server ที่มัลแวร์จะติดต่อเพื่อให้ดาวน์โหลดซอฟท์แวร์ตัวอื่นๆ

วิธีนี้จะทำให้หลบเลี่ยงการป้องกันต่างๆที่ใช้ในระบบไอทีของบริษัท ทำให้ตรวจพบไม่จอ การป้องกันที่ดีที่สุดอย่าพยายามโหลดไฟล์อะไรที่มาจากแหล่งที่คุณไม่รู้จักหรือไม่มั่นใจค่ะ

VIA PCworld