พบ Malware “MosaicRegressor” ใหม่ ฆ่าไม่ตาย !!!

นักวิจัยค้นพบ “Malware MosaicRegressor” ที่ฝังอยู่ใน “Windows 10’s startup system” ถึงแม้ว่าคุณจะทำการติดตั้งตัวระบบปฏิบัติการ Windows ใหม่ ก็ไม่สามารถลบ Malware นี้ได้ทั้งหมด 

Malware นี้จะซ่อนอยู่ใน Mainboard ของคอมพิวเตอร์ ซึ่งระบบปฏิบัติการไม่สามารถเข้าถึงได้และยังสามารถสร้างไฟล์ IntelUpdate.exe ที่เป็น Trojan เพื่อทำการติดตั้ง Malware กลับเข้าไปใหม่ เมื่อคุณทำการลบ Malware ออกจากคอมพิวเตอร์  

Malware นี้จะแฝงมากับ E-mail หากเหยื่อทำการดาวน์โหลดไฟล์ที่อันตรายเข้ามา และดำเนินการเปิด Malware จะทำงานอยู่ในเครื่องของคุณเพื่อสอดแนมพฤติกรรมการใช้งานคอมพิวเตอร์ของคุณ, Scan เอกสาร และทำการแพร่กระจาย Virus ไปให้กับผู้อื่นได้อีกด้วย 

IoC 

UEFI Modules (MD5) 

F5B320F7E87CC6F9D02E28350BB87DE6 (SmmInterfaceBase) 

0C136186858FD36080A7066657DE81F5 (SmmAccessSub) 

91A473D3711C28C3C563284DFAFE926B (SmmReset) 

DD8D3718197A10097CD72A94ED223238 (Ntfs) 

Decoy documents(MD5) 

0D386EBBA1CCF1758A19FB0B25451AFE 

233B300A58D5236C355AFD373DABC48B 

449BE89F939F5F909734C0E74A0B9751 

67CF741E627986E97293A8F38DE492A7 

6E949601EBDD5D50707C0AF7D3F3C7A5 

92F6C00DA977110200B5A3359F5E1462 

A69205984849744C39CFB421D8E97B1F 

D197648A3FB0D8FF6318DB922552E49E 

BitsReg(MD5) 

B53880397D331C6FE3493A9EF81CD76E 

AFC09DEB7B205EADAE4268F954444984 (64-bit) 

CurlReg(MD5) 

9E182D30B070BB14A8922CFF4837B94D 

61B4E0B1F14D93D7B176981964388291 

3D2835C35BA789BD86620F98CBFBF08B 

CurlRegEx(MD5) 

328AD6468F6EDB80B3ABF97AC39A0721 

7B213A6CE7AB30A62E84D81D455B4DEA 

MailReg(MD5) 

E2F4914E38BB632E975CFF14C39D8DCD 

WinHTTP Based Downloaders(MD5) 

08ECD8068617C86D7E3A3E810B106DCE 

1732357D3A0081A87D56EE1AE8B4D205 

74DB88B890054259D2F16FF22C79144D 

7C3C4C4E7273C10DBBAB628F6B2336D8 

BitsReg Payload (FileA.z)(MD5) 

89527F932188BD73572E2974F4344D46 

2nd Stage Loaders(MD5) 

36B51D2C0D8F48A7DC834F4B9E477238 (mapisp.dll) 

1C5377A54CBAA1B86279F63EE226B1DF (cryptui.sep) 

9F13636D5861066835ED5A79819AAC28 (cryptui.sep) 

3rd Stage Payload(MD5) 

FA0A874926453E452E3B6CED045D2206 (load.rem) 

File paths 

%APPDATA%\Microsoft\Credentials\MSI36C2.dat 

%APPDATA%\Microsoft\Internet Explorer\%Computername%.dat 

%APPDATA%\Microsoft\Internet Explorer\FileA.dll 

%APPDATA%\Microsoft\Internet Explorer\FileB.dll 

%APPDATA%\Microsoft\Internet Explorer\FileC.dll 

%APPDATA%\Microsoft\Internet Explorer\FileD.dll 

%APPDATA%\Microsoft\Internet Explorer\FileOutA.dat 

%APPDATA%\Microsoft\Network\DFileA.dll 

%APPDATA%\Microsoft\Network\DFileC.dll 

%APPDATA%\Microsoft\Network\DFileD.dll 

%APPDATA%\Microsoft\Network\subst.sep 

%APPDATA%\Microsoft\WebA.dll 

%APPDATA%\Microsoft\WebB.dll 

%APPDATA%\Microsoft\WebC.dll 

%APPDATA%\Microsoft\Windows\LnkClass.dat 

%APPDATA%\Microsoft\Windows\SendTo\cryptui.sep 

%APPDATA%\Microsoft\Windows\SendTo\load.dll %APPDATA%\Microsoft\Windows\load.rem 

%APPDATA%\Microsoft\Windows\mapisp.dll 

%APPDATA%\Microsoft\exitUI.rs 

%APPDATA%\Microsoft\sppsvc.tbl 

%APPDATA%\Microsoft\subst.tbl 

%APPDATA%\newplgs.dll 

%APPDATA%\rfvtgb.dll 

%APPDATA%\sdfcvb.dll 

%APPDATA%\msreg.dll 

%APPDATA\Microsoft\dfsadu.dll 

%COMMON_APPDATA%\Microsoft\Windows\user.rem 

%TEMP%\BeFileA.dll 

%TEMP%\BeFileC.dll 

%TEMP%\RepairA.dll 

%TEMP%\RepairB.dll 

%TEMP%\RepairC.dll 

%TEMP%\RepairD.dll 

%TEMP%\wrtreg_32.dll 

%TEMP%\wrtreg_64.dll 

%appdata%\dwhost.exe 

%appdata%\msreg.exe 

%appdata%\return.exe 

%appdata%\winword.exe 

Domains and IPs 

103.195.150[.]106 

103.229.1[.]26 

103.243.24[.]171 

103.243.26[.]211 

103.30.40[.]116 

103.30.40[.]39 

103.39.109[.]239 

103.39.109[.]252 

103.39.110[.]193 

103.56.115[.]69 

103.82.52[.]18 

117.18.4[.]6 

144.48.241[.]167 

144.48.241[.]32 

150.129.81[.]21 

43.252.228[.]179 

43.252.228[.]252 

43.252.228[.]75 

43.252.228[.]84 

43.252.230[.]180 

menjitghyukl.myfirewall[.]org 

Additional Suspected C&Cs 

43.252.230[.]173 

185.216.117[.]91 

103.215.82[.]161 

103.96.72[.]148 

122.10.82[.]30 

วิธีการป้องกัน 

  1. หากได้รับ E-Mail ควรตรวจสอบชื่อผู้ส่งกก่อน หากเป็นชื่อที่ไม่รู้จักหรือไม่น่าเชื่อถือให้ทำการลบทิ้งทันทีและดำเนินการ Report, Block หรือเพิ่มเป็น Blacklist ไว้   
  2. สร้างความตระหนักถึงภัยคุกคามทางไซเบอร์ โดยไม่ควรคลิก Link ที่มาจาก E-mail ที่ไม่น่าเชื่อถือ 
  3. หากคุณได้รับ E-mail จากบุคคลที่รู้จักหรือเพื่อนร่วมงานของคุณแล้วมีการแนบเอกสารมาด้วยควรทำการยืนยันกับผู้ส่งทุกครั้งเนื่องจาก Hacker นั้นสามารถแอบอ้างตัวตนได้ 
  4. ดำเนินการ Block IP ที่เป็นอันตราย หรือ Domain ตามที่ให้ไว้ในหัวข้อ “IoC” 

ที่มา: https://www.komando.com/security-privacy/unremovable-malware-threat/757935/ 

Share