ไม่นานมานี้มีการค้นพบมัลแวร์ตัวใหม่ ขโมยเงินดิจิทัล หรือ คริปโต ซึ่งเน้นโจมตี Android ฝังอยู่ในแอปพลิเคชันบน Google Paly Store นับเป็นมัลแวร์อันตรายตัวใหม่ที่ควรเฝ้าจับตา

มัลแวร์ตัวใหม่ร้ายกว่าเดิม 

SpyAgent คือมัลแวร์ที่จะฝังตามแอปพลิเคชันปลอมบน Google Play Store โดยปลอมเป็นแอปฯ การเงิน ธนาคาร หรือ บริการภาครัฐ รวมไปถึงแพลตฟอร์มสตรีมมิ่ง และแอปฯ อื่นๆ  มัลแวร์ตัวนี้ถูกพบครั้งแรกในเกาหลีใต้ โดยนักวิจัยของ McAfee Labs หลังจากติดตามข้อมูลที่ถูกขโมยไปบนเซิร์ฟเวอร์ปลอม

McAfee Labs พบแอปพลิเคชันที่ฝังมัลแวร์ SpyAgent จำนวน กว่า 280 รายการ ที่เมื่อมีการดาวน์โหลดแอปฯ ที่ฝังมัลแวร์เมื่อไหร่ อุปกรณ์มือถือหรือคอมพิวเตอร์ของเหยื่อจะเชื่อมต่อไปยังเซิร์ฟเวอร์ Comand and Control (C2) เพื่อควบคุมอุปกรณ์ของเหยื่อ ซึ่งสามารถออกคำสั่งจากระยะไกลได้ จากนั้นจึงทำการขโมยข้อมูลของเหยื่อ เช่น ข้อความ, รายชื่อติดต่อ และรูปภาพ  

สิ่งที่ทำให้มัลแวร์ตัวนี้แตกต่าง คือ มีเทคโนโลยีจดจำอักขระ แบบ OCR (Optical Character Recognition) เพื่อสแกนหาอักขระบนรูปภาพ โดยจะเน้นการสแกนหารูปภาพ Password กระเป๋าดิจิทัล หรือกระเป๋าคริปโตที่เหยื่อมักทำการบันทึกไว้ในโทรศัพท์มือถือ หรือในแอปกระเป๋าดิจิทัล นอกจากนี้ ยังสามารถหลบเลี่ยงการตรวจจับและเบี่ยงเบนความสนใจของเหยื่อ ด้วยหน้าต่างปลอมที่หลอกให้เหยื่อตายใจ นอกจากนี้ยังหลบการตรวจจับของนักวิจัยด้านไซเบอร์ได้อีกด้วย 

แม้จะมีการเผยแพร่ให้ทราบถึงกลวิธีของแฮ็กเกอร์ หรือมิจฉาชีพในปัจจุบันมาบ้าง แต่วิธีการหลอกของแอ็กเกอร์ หรือมิจฉาชีพที่ใช้ SpyAgent จะเน้นการหลอกที่สมจริง โดยปลอมเบอร์ หรือ บัญชีบนโซเชียลมีเดียของคนรู้จัก เช่น การหลอกลวงโดยใช้ข่าวการเสียชีวิตของคนรู้จัก ซึ่งใช้บัญชีปลอมส่งมาหลอกลวง  

ภาพจาก : TechSpot

SpyAgent ยังคงพัฒนาไปเรื่อยๆ จนล่าสุดเริ่มมีการแพร่ระบาดที่สหราชอาณาจักร และแพร่ไปอีกหลายประเทศ แม้จะยังไม่พบใน iOS แต่ก็มีความเป็นไปได้ที่อาจพบมัลแวร์ตัวนี้ในอนาคต 

การป้องกันมัลแวร์อาจเป็นเรื่องยาก แต่ก็ใช่ว่าเราจะไม่สามารถรู้ทันก่อนถูกโจมตี โดยเฉพาะหากมีเครื่องมือเข้ามาช่วย

ซึ่งสำหรับการตรวจจับมัลแวร์ ใน SIEM ทำได้โดยใช้เทคนิคและเครื่องมือ ดังต่อไปนี้

• การวิเคราะห์ข้อมูลการจราจรทางคอมพิวเจอร์ (Log Analysis) : SIEM จะรวบรวมและวิเคราะห์ข้อมูลจากอุปกรณ์ต่างๆ เพื่อหาสัญญาณของการโจมตี หรือพฤติกรรมที่ผิดปกติ เช่น การเข้าถึงข้อมูลที่ไม่ได้รับอนุญาต หรือการเชื่อมต่อกับเซิร์ฟเวอร์ที่ไม่รู้จัก

• กฎการตรวจจับภัยคุกคาม (Detection Rule)  : SIEM ช่วยตรวจจับเหตุการณ์ความปลอดภัยที่ผิดปกติหรือภัยคุกคามที่เกิดขึ้นภายในเครือข่ายหรือระบบคอมพิวเตอร์ กฎเหล่านี้ถูกสร้างขึ้นจากเงื่อนไขหรือรูปแบบของเหตุการณ์ที่ต้องการตรวจสอบ และเมื่อมีเหตุการณ์ที่ตรงกับเงื่อนไขหรือรูปแบบ ระบบจะทำการแจ้งเตือนไปยังผู้ที่เกี่ยวข้องทันที

นอกจากนี้ เพื่อให้องค์กรของคุณสามารถ อัปเดตข้อมูลเกี่ยวกับภัยคุกคามทางไซเบอร์ เพิ่มศักยภาพในการป้องกันภัย ให้รู้เท่าทันภัยไซเบอร์ และสร้างแผนมาตรการป้องกันได้ เรายังมีโมดูล Cyber Threat Intelligence (CTI) ที่จะช่วยรวบรวมข่าวสาร อัปเดตข้อมูลเกี่ยวกับภัยคุกคามทางไซเบอร์จากหลากหลายแหล่งข้อมูล

กระบวนการทำงานของ Cyber Threat Intelligence คือ จะนำข้อมูลข่าวสารจากแหล่งต่างๆ  มาประมวลผลแบบ Outside-In ไม่ว่าจะเป็นข้อมูลจาก Dark Web,  Threat Monitoring และแหล่งข่าวทั่วไปตาม Source ต่างๆ ส่งแจ้งเตือนไปยังองค์กร เพื่อให้รับรู้ข่าวสารภัยคุกคาม 

Cyber Threat Intelligence (CTI) ของ OneFence สามารถคัดกรอง Asset ได้ตัวอย่างเช่น 

• Operation System
• Firewall
• Antivirus
• Cloud Service 
• Microsoft
• Database
• Switch
• Endpoint Detection and Response
• Social Media 

ที่มา : McAfee, TechSpot

สอบถามข้อมูลผลิตภัณฑ์ “OneFence”

Tel. : 061-462-6414, 02-103-6462
Line : @securitypitch
Email : [email protected]

บทความที่น่าสนใจ

• Payment Gateway ข้อมูลรั่วไหล กระทบผู้ถือบัตรเครดิต นับล้าน
• ความเป็นส่วนตัว สิ่งที่ Apple ให้ความสำคัญเป็นอันดับหนึ่ง
• มัลแวร์ระบาด แฝงตัวเป็นโฆษณาบน Google