มัลแวร์ Fileless ตัวใหม่สามารถซ่อน Shellcode ใน Windows Event Logs

พบ !! มัลแวร์ Fileless ตัวใหม่มีความสามารถในการซ่อน Shellcode ใน Windows Event Logs ซึ่งแพร่กระจายโดยผู้ไม่ประสงค์ดีจะทำการอัปโหลดไฟล์ .RAR บนเว็บไซต์เพื่อหลอกผู้ใช้งานว่าเป็นซอฟต์แวร์ เมื่อผู้ใช้งานดาวน์โหลดไฟล์ .RAR และ เปิดซอฟต์แวร์ภายในโฟลเดอร์ ซอฟต์แวร์จะทำการติดตั้ง Payload และ Inject Code  
ใน Windows System Processes หลังจากนั้นจะทำการสื่อสารแบบ HTTP RC4 Encryption กับ C2 Server  
ด้วย Named Pipes ซึ่งอนุญาตให้ผู้ไม่ประสงค์ดีทำการ Arbitrary Commands ดาวน์โหลดไฟล์จาก URL  
เพิ่มระดับสิทธิ์ และ ถ่ายภาพหน้าจอ  

นักวิจัยกล่าวว่า “ตอนนี้เรายังไม่ได้ตั้งชื่อมัลแวร์ และ ให้ใช้คำว่า “SilentBreak” ไปก่อน เนื่องจากเป็นเครื่องมือ 
ที่ผู้ไม่ประสงค์ดีใช้บ่อยที่สุด หากโมดูลใหม่เกิดขึ้นและอนุญาตให้เราเชื่อมต่อ Activity กับผู้ไม่ประสงค์ดีบางคน  
เราจะอัปเดตชื่อตามนั้น” 

คำแนะนำ 

  1. ควรหลีกเลี่ยงการดาวน์โหลดไฟล์จากเว็บที่น่าสงสัยหรือเว็บที่ Redirect ไปยังเว็บอื่น 
  1. ควรโหลดซอฟต์แวร์มาจากต้นทางที่หน้าเชื่อถือ 
  1. ควรอัปเดตซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุด 
  1. ควร Scan เครื่องคอมพิวเตอร์อย่างสม่ำเสมอ อย่างน้อย 1 ครั้งต่อสัปดาห์ 
  1. ควรติดตั้ง Endpoint Security และทำการ Full-Scan 
  1. ควรตระหนักถึงภัยคุกคามทางไซเบอร์ 
  1. ควรตรวจสอบไฟล์ที่ดาวน์โหลดมาก่อนติดตั้งหรือทำการคลิก สามารถตรวจสอบไฟล์ได้ที่ 

(https://www.virustotal.com/gui/home/upload) 

Ref : https://thehackernews.com/2022/05/this-new-fileless-malware-hides.html 

Ref IOCs : https://securelist.com/a-new-secret-stash-for-fileless-malware/106393/ 

Share