พบมัลแวร์เรียกค่าไถ่ HavanaCrypt ปลอมตัวเป็นอัปเดตซอฟท์แวร์ ทั้ง Windows 10, Microsoft Exchange และ Google Chrome หลอกให้ติดตั้งลงเครื่องแล้วเข้าล็อกไฟล์เพื่อเรียกค่าไถ่ นักวิจัยเตือนยังไม่มีวิธีป้องกันเพราะแฮกเกอร์ใช้เทคนิคขั้นสูงทำให้ตรวจจับได้ยาก
นักวิจัยจาก Trend Micro ค้นพบมัลแวร์เรียกค่าไถ่ตัวใหม่ชื่อว่า “HavanaCrypt” มันจะแกล้งปลอมตัวเป็นอัปเดตซอฟท์แวร์ของ Google โดยใช้แอปพลิเคชัน .NET ของไมโครซอฟท์ หนึ่งในนั้นก็คือ Obfuscar ที่ออกแบบมาให้รักษาความปลอดภัยของโค้ดบน .NET นั่นจึงทำให้โปรแกรมแอนตี้ไวรัสต่างๆตรวจจับได้ยาก เมื่อเผลอติดตั้งลงในเครื่องมันก็จะซ่อนตัวเองโดยใช้ฟังก์ชัน ShowWindow ของระบบ จึงทำให้การตรวจเจอเท่ากับศูนย์
นักวิจัยบอกว่ามันใช้เทคนิคขั้นสูงเพื่อไม่ให้ถูกจับ เมื่อมันพบว่าระบบกำลังทำงานบน virtual machine (VM) มันก็จะหยุดการทำงานของตัวเองทันที หากพบว่าคอมพิวเตอร์ของเหยื่อไม่ได้ทำงานบน VM ก็จะทำการดาวน์โหลดไฟล์จากเว็บ hosting ของไมโครซอฟท์ลงในเครื่อง จากนั้นก็จะก็อปปี้ตัวเองไปอยู่ในโฟลเดอร์ “ProgramData” และ “StartUp” เพื่อทำการซ่อนไฟล์ระบบและปิดการทำงานของ Task Manager ต่อด้วยการใช้ฟังชัน QueueUserWorkItem ใน .NET เชื่อมต่อ payloads เข้าด้วยกันเพื่อทำการเข้ารหัสไฟล์ในเครื่อง
ตอนที่เข้ารหัสไฟล์ HavanaCrypt จะใช้ฟังก์ชัน CryptoRandom ใน KeePass Password Safe เครื่องมือจัดการรหัสผ่านแบบ open-source ที่ใช้บนระบบปฏิบัติการ Windows เพื่อสร้างกุญแจแบบสุ่มในการเข้ารหัสไฟล์ ดูเหมือนว่าแฮกเกอร์ผู้สร้างวางแผนที่จะสื่อสารผ่าน Tor browser ได้ซึ่งนี่เป็นตัวชี้วัดว่าเจ้ามัลแวร์ตัวน้ยังอยู่ในช่วงของการพัฒนาให้มีความสามารถเพิ่มขึ้น
ทาง Trend Micro มองว่าตอนนี้เริ่มมีการใช้ HavanaCrypt ในการจู่โจมมากขึ้น แถมยังมีการปรับเปลี่ยนเทคนิคให้ตรวจับยากขึ้น โดยเฉพาะการล่อหลอกให้อัปเดตซอฟท์แวร์เวอร์ชันใหม่ ที่มีการปรับปรุงการทำงานให้ดีขึ้น จนไปถึงการเพิ่มความปลอดภัยให้แน่นหนาขึ้น นักวิจัยเตือนยังไม่มีวิธีป้องกันมัลแวร์เพราะแฮกเกอร์ใช้เทคนิคขั้นสูงทำให้ตรวจจับได้ยาก ตอนนี้ทำได้ให้ทางผู้พัฒนาแพลตฟอร์ม ปิดช่องโหว่เหล่านี้เพื่อไม่ให้ใช้เป็นช่องทางในการเรียกค่าไถ่ได้
ที่มา theregister.
