มัลแวร์ Winos กลับมาแล้วในเวอร์ชัน 4.0 คราวนี้มามุกใหม่ ปลอมตัวเป็นแอป VPN ปลอม

มัลแวร์โดยมากนั้นมักจะใช้วิธีการแพร่กระจายด้วยการปลอมตัวเป็นซอฟต์แวร์ หรือแอปพลิเคชันที่ได้รับความนิยมต่าง ๆ ไม่ว่าจะเป็น ซอฟต์แวร์สำหรับใช้งานที่ออฟฟิศ, เกม, เครื่องมือตัดต่อวิดีโอ, AI, ไปจนถึง VPN เป็นต้น

จาการายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบการกลับมาของมัลแวร์ Winos 4.0 หรือเป็นที่รู้จักกันในอีกชื่อหนึ่งว่า ValleyRAT ซึ่งเป็นมัลแวร์ประเภทเข้าถึงระบบของเหยื่อจากทางไกล หรือ Remote Access Trojan (RAT) ที่เคยระบาดในช่วงเดือนมิถุนายน ปี ค.ศ. 2024 (พ.ศ. 2567) มาแล้ว โดยในคราวนั้นเป็นการแพร่กระจายโดยมีเป้าหมายเพ่งเล็งกลุ่มผู้ใช้งานที่ใช้ภาษาจีน ผ่านทางไฟล์ติดตั้งแอปพลิเคชัน VPN ในรูปแบบไฟล์ Windows Installer (MSI) ซึ่งผู้ก่อการในคราวนั้นถูกระบุว่าเป็นแฮกเกอร์กลุ่มหนึ่งที่มีชื่อว่า Silver Fox และในเวลาถัดมา การแพร่กระจายก็ได้เปลี่ยนรูปแบบใหม่ด้วยการอ้างตนเป็นวิดีโอเกม และเครื่องมือสำหรับเพิ่มประสิทธิภาพของระบบของเหยื่อเพื่อให้เล่นเกมได้อย่างไหลลื่นขึ้น

และสำหรับการแพร่กระจายในรอบปัจจุบันนั้น ก็ได้มีการกลับมาใช้วิธีการปลอมตัวเป็นไฟล์ติดตั้งแอปพลิเคชัน VPN ชื่อดังอย่าง LetsVPN และเว็บเบราว์เซอร์ QQ Browser แทน ทำให้ทางทีมวิจัยจาก Rapid7 ซึ่งเป็นบริษัทผู้เชี่ยวชาญด้านการพัฒนาระบบรักษาความปลอดภัยไซเบอร์ ที่ได้ทำการตรวจพบแคมเปญการกระจายมัลแวร์ตัวดังกล่าวในช่วงเดือนกุมภาพันธ์ที่ผ่านมา ได้ระบุไว้ว่า การโจมตีน่าจะมุ่งเน้นไปที่กลุ่มคนจีนหรือผู้ใช้ภาษาจีนเช่นเดิม เนื่องจากแอปพลิเคชันดังกล่าวนั้นเป็นที่นิยมในกลุ่มผู้ใช้งานกลุ่มนี้ ซึ่งแคมเปญแรก ๆ ที่ถูกตรวจพบในรอบล่าสุดนั้นเกิดขึ้นที่ประเทศไต้หวันโดยจะเป็นการหลอกลวงด้วยวิธีการส่งอีเมล Phishing โดยหลอกว่าเป็นอีเมลที่มาพร้อมเอกสารจากหน่วยงานสรรพากร (National Taxation Bureau) ซึ่งตัวแคมเปญนั้นก็ไม่ได้จำกัดแค่วิธีการดังกล่าวเท่านั้น ทางทีมวิจัยได้ระบุว่า แฮกเกอร์จะปรับเปลี่ยนแคมเปญไปเรื่อย ๆ เพื่อให้เหมาะสมกับสภาพความเป็นจริงของเป้าหมายแต่ละกลุ่ม

ภาพจาก: https://thehackernews.com/2025/05/hackers-use-fake-vpn-and-browser-nsis.html

ในส่วนของการทำงานเชิงเทคนิคของมัลแวร์ตัวนี้นั้น ทางทีมวิจัยได้ยกตัวอย่างในรูปแบบของการที่มัลแวร์ปลอมตัวเป็นซอฟต์แวร์ QQ Browser โดยการติดตั้งนั้นจะเริ่มต้นจากเหยื่อเผลอโหลดไฟล์ติดตั้งในรูปแบบไฟล์ NSIS Installer ที่แฝงมัลแวร์ลงมาบนเครื่อง ซึ่งภายในตัวไฟล์นั้นจะประกอบด้วยตัวซอฟต์แวร์สำหรับหลอกล่อ (Decoy), ไฟล์ที่บรรจุสคริปท์ ShellCode ในรูปแบบไฟล์ .ini, และไฟล์ DLL สำหรับการยิงลงสู่ระบบเพื่อฝังตนให้มัลแวร์ทำงานได้ตลอดเวลา (Persistence) โดยองค์ประกอบรวมกันนั้นเป็นวิธีการในการหลอมรวมทั้งโค้ดสำหรับการฝังมัลแวร์ และโค้ดการตั้งค่าระบบเข้าด้วยกัน เพื่อช่วยให้ตัวมัลแวร์นกต่อ (Loader) สามารถทำการดึงมัลแวร์ตัวหลัก (Winos 4.0) ลงมาแล้วฝังตัวเข้าไปในส่วนของหน่วยความจำ (Memory) เพื่อหลบเลี่ยงการตรวจจับโดยระบบรักษาความปลอดภัยบนเครื่อง ซึ่งวิธีการดังกล่าวนั้นถูกเรียกรวมกันว่า “Catena” สำหรับรายละเอียดปลีกย่อยในส่วนของตัวไฟล์สำหรับติดตั้งนั้น ทางทีมวิจัยพบว่าเป็นไฟล์ที่ถูกลงทะเบียนด้วยใบอนุญาต (Certificate) จาก Verisign ที่หมดอายุแล้ว (ใบอนุญาตดังกล่าวนั้นมีอายุการใช้งานตั้งแต่วันที่ 2018-10-11 ถึง 2020-02-02) เพื่อแอบอ้างว่าตัวไฟล์ติดตั้งนั้นเป็นของบริษัท Tencent Technology (Shenzhen)

นอกจากนั้น ทางทีมวิจัยยังได้เปิดเผยข้อมูลทั้งเทคนิคหลายอย่างของมัลแวร์ดังกล่าว ไม่ว่าจะเป็นวิธีการติดต่อระหว่างตัวมัลแวร์กับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ผ่านทางพอร์ต TCP 18852 และพอร์ต HTTPS 443 โดยจะติดต่อไปยังหมายเลข IP ที่ "134.122.204[.]11:18852" หรือ "103.46.185[.]44:443"  และสำหรับในส่วนของการฝังตัวเองในระบบ หรือ Persistence นั้น ตัวมัลแวร์ก็ใช้วิธีการกำหนดตารางเวลาทำงาน (Scheduling Tasks) ไว้ทีละหลายสัปดาห์เพื่อให้มั่นใจว่ามัลแวร์จะทำงานได้ตลอด นอกจากนั้นในระหว่างการตรวจสอบนั้นทางทีมวิจัยยังพบว่ามัลแวร์มีฟีเจอร์ตรวจสอบว่าเครื่องมีการตั้งในการใช้งานภาษาจีนหรือไม่ ? แต่มัลแวร์ก็จะยังคงติดตั้ง และทำงานอยู่ดีถึงแม้จะตรวจไม่พบการตั้งค่าดังกล่าว

ทางทีมวิจัยยังได้เผยวิธีการฝังตัวติดตั้งมัลแวร์ลงสู่ระบบอีกวิธีหนึ่ง นั่นคือการใช้ไฟล์ที่หลอกลวงว่าเป็นซอฟต์แวร์สำหรับการใช้งานเครือข่ายส่วนบุคคลแบบจำลอง (VPN หรือ Virtual Private Network) ที่มีชื่อว่า LetsVPN ซึ่งการแอบแฝงผ่านซอฟต์แวร์ตัวนี้มองเผิน ๆ อาจจะคล้ายคลึงกับตัวก่อน แต่ความเป็นจริงนั้นมีการเพิ่มระบบหลบเลี่ยงการตรวจจับโดย Windows Defender ซึ่งเป็นเครื่องมือพื้นฐานบนระบบปฏิบัติการ Windows สำหรับใช้ในการตรวจจับมัลแวร์ และภัยไซเบอร์ ด้วยการรันสคริปท์ PowerShell ขึ้นมาเพื่อเพิ่มไฟล์ทั้งหมดที่เกี่ยวข้องกับมัลแวร์ลงไปยังรายชื่อยกเว้น (Exclusion List) ของ Windows Defender สำหรับทุกไดร์ฟที่สามารถมีอยู่ได้บนระบบ (C: ถึง Z:) หลังจากนั้นตัวมัลแวร์นกต่อจะทำการวางมัลแวร์เพิ่มเติม (Additional Payload) ลงมายังเครื่องของเหยื่อ โดยตัวนี้จะทำหน้าที่ตรวจสอบ Process ต่าง ๆ ของแอนตี้ไวรัสจากจีนที่มีชื่อว่า 360 Total Security อีกด้วย

ทั้งนี้ แหล่งข่าวไม่ได้มีการระบุถึงวิธีการแก้ไขหรือจัดการกับมัลแวร์ดังกล่าวแต่อย่างไร ดังนั้น การระมัดระวังในการดาวน์โหลดไฟล์ต่าง ๆ ที่มีที่มาไม่น่าไว้วางใจ ยังคงเป็นวิธีการป้องกันตัวที่ดีที่สุด