Dridex กำหนดเป้าหมายผู้ใช้ MacOS ด้วยเทคนิคการจัดส่งใหม่


25 January 2566
9
Dridex กำหนดเป้าหมายผู้ใช้ MacOS ด้วยเทคนิคการจัดส่งใหม่

ผู้พัฒนาระบบออกมาเตือนเกี่ยวกับมัลแวร์ Dridex Banking รูปแบบใหม่ที่กำหนดเป้าหมายระบบที่ใช้ระบบปฏิบัติการ macOS ทางผู้เชี่ยวชาญของ Trend Micro ค้นพบรูปแบบใหม่ของมัลแวร์ Dridex Banking ซึ่งกำหนดเป้าหมายไปที่แพลตฟอร์ม MacOS และใช้เทคนิคใหม่ในการรันคำสั่งในรูปแบบส่งเอกสารที่ฝังด้วย Micro ที่เป็นอันตราย Drivedex Banking Trojan มีมาตั้งแต่ปี 2014 และในช่วงหลายปีที่ผ่านมาก็มีส่วนร่วมในกิจกรรมมากมายที่มุ่งเป้าหมายไปที่สถาบันการเงินที่มีการปรับปรุงอย่างต่อเนื่องโดยนักโจรกรรม เป็นที่เชื่อกันว่ามัลแวร์ของธนาคารดำเนินการโดยแก๊งอาชญากรไซเบอร์ Evil Corp. ตัวอย่าง ที่วิเคราะห์โดย Trend Micro มาในรูปแบบของการรันคำสั่งไฟล์ Mach-o: a.out (ตรวจพบว่าเป็นโทรจัน.MacOS.DRIDEX.MANP) ตัวอย่างที่วิเคราะห์ล่าสุดโดย Trend Micro ถูกส่งไปยัง VirusTotal ใน เดือนเมษายน 2019 ในขณะที่ตัวอย่างล่าสุดคือวันที่ใน เดือนธันวาคม 2022 การวิเคราะห์ที่เผยแพร่โดย Trend Micro แสดงให้เห็นว่า “ข้อมูลของกลุ่มตัวอย่างที่มีเอกสารที่ฝังอยู่ในอันตรายและใช้โดยตัวแปร _payload_doc การรวบรวมกลับแสดงให้เห็นว่ามัลแวร์ดำเนินการลูปที่คัดลอกเนื้อหาของ _payload_doc จนกว่าตัวนับจะถึง _payload_doc_len ซึ่งเป็นขนาดของรหัสที่เป็นอันตราย” เมื่อรหัสที่เป็นอันตรายพร้อมแล้วส่วน cstring จะทำงานโดยการเขียนทับรหัสไปยังไฟล์ปลายทาง

เอกสารฝังตัวที่เป็นอันตรายถูกตรวจพบครั้งแรกในปี 2015 และนักวิจัยสังเกตเห็นว่าไฟล์ .doc ที่ได้รับผลกระทบมีวัตถุ This Document ซึ่งมี Micro เปิดอัตโนมัติที่เรียกฟังก์ชั่นที่เป็นอันตราย มัลแวร์เริ่มต้นด้วยการค้นหาไฟล์ .doc ในไดเรกทอรีของผู้ใช้งานปัจจุบัน (~ / user / { username}) โดยใช้คำสั่ง find ~ -name “* .doc” จากนั้นจะใช้สำหรับวนรอบไปทุกไฟล์เอกสาร (i) และเขียนโค้ดที่เป็นอันตรายผ่านคำสั่ง echo “%s” รหัส Micro ที่เป็นอันตรายที่คัดลอกมาจากเอกสารที่ฝังอยู่คือการถ่ายโอนข้อมูลเป็นเลขฐานสิบหก แม้ว่าฟีเจอร์มาโครใน Microsoft Word จะถูกปิดใช้งานตามค่าเริ่มต้น มัลแวร์จะเขียนทับไฟล์เอกสารทั้งหมดสำหรับผู้ใช้ปัจจุบัน รวมถึงไฟล์ที่ไม่เกี่ยวข้องด้วย สิ่งนี้ทำให้ผู้ใช้ระบุได้ยากขึ้นว่าไฟล์นั้นเป็นอันตรายหรือไม่ เนื่องจากไฟล์ไม่ได้มาจากแหล่งภายนอก Micro ในเอกสารที่รันคำสั่งทับจะเชื่อมต่อไปยังเซิร์ฟเวอร์ระยะไกลเพื่อดึง Payload เพิ่มเติม ผู้เชี่ยวชาญยังสังเกตเห็นว่ามัลแวร์ยังทิ้งไฟล์ .exe ที่จะไม่ทำงานใน MacOS ซึ่งเป็นสถานการณ์ที่บ่งชี้ว่าโค้ดที่เป็นอันตรายยังอยู่ในขั้นตอนการทดสอบ “ผู้ประสงค์ไม่ดีที่ใช้ Dridex กำลังพยายามค้นหาเป้าหมายใหม่และวิธีการเข้าถึงที่มีประสิทธิภาพมากขึ้น” สรุปได้ว่า “ปัจจุบัน ผลกระทบต่อผู้ใช้ MacOS สำหรับตัวแปร Dridex นี้จะลดลงเนื่องจากเพย์โหลดเป็นไฟล์ exe อย่างไรก็ตาม ผู้ก่อภัยคุกคามที่อยู่เบื้องหลังตัวแปรนี้จะทำการดัดแปลงเพิ่มเติมเพื่อให้เข้ากันได้กับ MacOS”