DAEMON Tools ถูกใช้เป็นช่องทางแพร่มัลแวร์ผ่านเว็บไซต์ทางการ กระทบผู้ใช้กว่าพันคน !

DAEMON Tools โปรแกรมจำลองไดรฟ์ในตำนาน สำหรับจำลองไดรฟ์ซีดี/ดีวีดี/บลูเรย์เสมือนบนคอมพิวเตอร์จากไฟล์ในเครื่องแบบไม่ต้องเปิดแผ่น ล่าสุดมีรายงานว่า มีแฮกเกอร์ใช้เว็บไซต์ทางการของตัวโปรแกรมในการแพร่มัลแวร์จากไฟล์ติดตั้งเวอร์ชัน Windows ส่งผลให้มีผู้ใช้หลายพันเครื่องทั่วโลกติดแบ็กดอร์โดยไม่รู้ตัวนานเกือบ 1 เดือน…

สำหรับเวอร์ชัน DAEMON Tools ที่ได้รับผลกระทบคือ 12.5.0.2421 ถึง 12.5.0.2434 ซึ่งจุดที่ทำให้การโจมตีครั้งนี้อันตราย และตรวจจับได้ยาก คือตัวไฟล์ติดตั้งถูกแจกจ่ายผ่านหน้าเว็บไซต์ทางการของตัวโปรแกรมเอง หนำซ้ำยังถูกเซ็นด้วยใบรับรองดิจิทัลจริงของบริษัทผู้พัฒนาอย่าง AVB Disc Soft ทำให้ระบบความปลอดภัยหรือ Antivirus ส่วนมากมองว่าเป็นไฟล์ถูกต้องตามปกติ

นักวิจัยด้านความปลอดภัยจาก Kaspersky เผยว่า การโจมตีครั้งนี้เริ่มตั้งแต่วันที่ 8 เมษายน กระทบต่อผู้ใช้กว่า 100 ประเทศ และยังพบมัลแวร์ในไฟล์อย่างน้อย 3 ตัว ได้แก่ DTHelper.exe, DiscSoftBusServiceLite.exe และ DTShellHlp.exe

และเมื่อไฟล์เหล่านี้ถูกเปิดใช้งาน มัลแวร์จะเริ่มส่งคำขอเชื่อมต่อไปยังโดเมนอันตรายที่ถูกตั้งชื่อให้คล้ายกับโดเมนจริงของ DAEMON Tools โดยโดเมนดังกล่าวถูกจดทะเบียนก่อนเริ่มการโจมตีเพียงประมาณ 1 สัปดาห์เท่านั้น

โดยมัลแวร์จะเก็บรวบรวมข้อมูลส่วนตัวของผู้ใช้ ก่อนส่งกลับไปยังเซิร์ฟเวอร์ของแฮกเกอร์เพื่อวิเคราะห์ข้อมูล ได้แก่

• MAC Address
• ชื่อเครื่อง (Hostname)
• รายชื่อโปรแกรมที่ติดตั้ง
• Process ที่กำลังทำงาน
• การตั้งค่าเครือข่าย
• ตำแหน่งที่ตั้งของผู้ใช้

แม้จะยังไม่สามารถระบุได้ว่าการโจมตีในครั้งนี้มาจากกลุ่มแฮกเกอร์ใด แต่จากข้อความที่พบใน payload ระยะแรกในการรวบรวมข้อมูลของผู้ใช้นั่นเป็นภาษาจีน และเหยื่อส่วนใหญ่ยังอยู่ในประเทศรัสเซีย บราซิล ตุรกี สเปน เยอรมนี ฝรั่งเศส อิตาลี และจีนอีกด้วย

อย่างไรก็ตาม แม้จะมีผู้ใช้ได้รับผลกระทบนับพัน แต่การ payload ที่เกิดขึ้นครั้งที่สองนั้นกลับมีกระทบอุปกรณ์เพียง 10 กว่าเครื่องเท่านั้น ซึ่งทั้งหมดล้วนเป็นองค์กรวิทยาศาสตร์, โรงงานผลิต, ร้านค้าปลีกขนาดใหญ่ จนไปถึงหน่วยงานรัฐบาล และสถาบันการศึกษาในรัสเซีย เบลารุส และไทย ทำให้คาดได้ว่าการโจมตีครั้งนี้มีเป้าหมายเฉพาะเจาะจงที่องค์กรใหญ่ ๆ ไม่ได้หว่านแห่ไปเรื่อยอย่างแน่นอน

ปัจจุบัน ทาง Kaspersky ได้ส่งแจ้งเตือนไปยังผู้พัฒนา DAEMON Tools แล้ว และแนะนำให้ผู้ใช้ทุกคนรีบสแกนมัลแวร์ รวมถึงตรวจสอบพฤติกรรมผิดปกติของโปรเซสต่าง ๆ ในระบบทันที โดยเฉพาะไฟล์ที่ถูกเรียกใช้งานจากโฟลเดอร์อย่าง Temp, AppData หรือ Public ซึ่งมักถูกใช้เป็นจุดซ่อนมัลแวร์

การโจมตีลักษณะนี้เรียกกันว่า “Supply Chain Attack” คือผู้ใช้แทบไม่สามารถสังเกตความผิดปกติได้เลย เพราะทุกอย่างดู “ถูกต้อง” ตั้งแต่เว็บไซต์ทางการไปจนถึงลายเซ็นดิจิทัล สะท้อนให้เห็นว่า แม้แต่ซอฟต์แวร์ชื่อดังและไฟล์ที่ถูกเซ็นรับรองอย่างถูกต้อง ก็อาจกลายเป็นช่องทางโจมตีได้หากระบบแจกจ่ายซอฟต์แวร์ถูกเจาะสำเร็จ แม้เราจะมั่นใจว่าโหลดไฟล์จากเว็บไซต์ทางการของโปรแกรมก็ตาม แต่ก็อาจเจอเหตุการณ์เช่นนี้ได้เช่นกัน…

ที่มา: Techspot

บดินทร์ ตันวิเชียร

'ช่างภาพ' ที่เขียนคอนเทนต์ได้ หาเงินซื้อเปียกให้แมว 3 ตัว ที่บ้าน