Malware กลุ่มใหม่ใช้ไฟล์ Word เพื่อโหลดสคริปต์ PowerShell จาก GitHub

Malware ใช้ไฟล์ Word ที่ฝัง Macros เพื่อดาวน์โหลดสคริปต์ PowerShell

นักวิจัยพบ Malware กลุ่มใหม่ใช้ไฟล์ Word ที่ฝัง Macros เพื่อดาวน์โหลดสคริปต์ PowerShell จาก GitHub ซึ่ง สคริปต์ PowerShell นี้จะดาวน์โหลดไฟล์รูปภาพจาก “Imgur” เพื่อถอดรหัสสคริปต์ “Cobalt Strike” บนระบบ Windows

จากการทดสอบของนักวิจัย เมื่อทำการเปิดไฟล์ Word ขึ้นมา Macro ที่ฝังอยู่ในไฟล์ Word จะทำการเปิดตัว powershell.exe และ ป้อนตำแหน่งของสคริปต์ PowerShell ไปที่โฮสต์บน GitHub

สคริปต์ Macro ที่ฝังอยู่ภายในไฟล์ Word

ในสคริปต์ PowerShell มีคำแนะนำในการดาวน์โหลดไฟล์ PNG จาก “Imgur” ถึงแม้ว่าไฟล์รูปภาพจะไม่มีอันตราย แต่สคริปต์ PowerShell จะใช้ค่า Pixel ในการคำนวณ Payload “Cobalt Strike”

เทคนิคการซ่อนรหัส ข้อมูลลับ หรือ Payload ที่เป็นอันตรายภายในไฟล์ธรรมดา เช่นภาพ เทคนิคนี้เรียกว่า “Steganography”

อัลกอริทึม ที่ใช้คำนวณ Payload จะเรียกใช้ foreach loop เพื่อวนซ้ำชุดของค่า Pixel ภายในไฟล์ภาพ PNG และทำการ specific arithmetic เพื่อให้ได้ Command “ASCII”

สคริปต์ PowerShell ที่โฮสต์บน GitHub ดาวน์โหลดไฟล์ PNG จาก “Imgur” และใช้เพื่อคำนวณ Payload

สคริปต์ถอดรหัสที่ได้จากการจัดการค่า Pixel ของไฟล์ PNG คือสคริปต์ “Cobalt Strike”

IOC

MD5

1. 97b5ca432a34b919a59fe8bc8e213fc3
2. a9506c371418969ea5084b00db54573b

วิธีการป้องกัน

1.ควรพิจารณาข้อมูลที่ได้รับทาง E-mail หรือ ข้อมูลที่เข้าไปดูในเว็บไซต์ทุกครั้ง

2.หากพบ E-mail ที่หน้าสงสัยควรลบทันที  

3.ไม่ควรเข้าไปในเว็บไซต์หรือรันไฟล์ที่แนบมากับ E-mail ที่ต้องสงสัย

4.ตรวจสอบ URL ทุกครั้งก่อนที่จะทำการเข้าชมเว็บไซต์

          5.ใช้ E-mail Gateway เพื่อใช้กรอง E-mail ก่อนที่จะถูกส่ง เข้ามายัง Mail Server ภายในองค์กรณ์

ที่มา : https://www.bleepingcomputer.com/news/security/github-hosted-malware-calculates-cobalt-strike-payload-from-imgur-pic/