แฮกเกอร์จีนพบเทคนิคใหม่ ในการใช้ QR Code เพื่อแพร่กระจายมัลแวร์

เว็บไซต์ Info World ได้กล่าวถึงการตรวจพบเทคนิคในการแพร่กระจายมัลแวร์แบบใหม่ของแฮกเกอร์ผ่านการใช้งาน QR Code เพื่อป้องกันการถูกระบบป้องกันภัยไซเบอร์ตรวจพบมัลแวร์ ซึ่งการค้นพบวิธีการแบบใหม่ของแฮกเกอร์นี้ เป็นผลงานของทีมวิจัยจาก Socket บริษัทผู้พัฒนาแพลตฟอร์มด้านความปลอดภัยไซเบอร์ ซึ่งทางทีมวิจัยกล่าวว่า เป็นวิธีการเปิดประตูหลัง (Backdoor) ของระบบอย่างชาญฉลาด ถ้าถูกนำเอาไปใช้งานร่วมกับแอปพลิเคชัน หรือเว็บไซต์ของทางองค์กร ก็จะช่วยให้แฮกเกอร์สามารถขโมยรหัสผ่าน (Password) หรือไฟล์ Cookie ได้ด้วยโค้ดพิเศษที่แฝงอยู่บน QR Code ที่ดูไม่เป็นพิษเป็นภัย

โดยเทคนิคดังกล่าวนั้นถูกเรียกว่า Fezbox ซึ่งเป็นการที่ตัวโค้ดมัลแวร์นั้นทำการปลอมตัวเองเป็นคลังโค้ด (Utility Library) พร้อมกับ “เทคนิคการตีรวนระบบป้องกัน (Obfuscation)” แบบหลายชั้น รวมถึง การใช้เทคนิคการซ่อนไฟล์ลับในที่แจ้ง หรือ Steganography ซึ่งในที่นี้คือการ บรรจุสิ่งที่มีที่กล่าวมาข้างต้นลงใน QR Code

ในส่วนของการใช้งานจริงนั้น ทางทีมวิจัยได้อธิบายว่า ตัวมัลแวร์ดังกล่าวนั้นจะอ้างตัวเองเป็นเครื่องมือที่จำเป็นในการทำงานอย่าง JavaScript/TypeScript Utility Library ซึ่งเป็นฟังก์ชันสำหรับการช่วยเหลือทั่วไป โดยมีการบรรจุแยกเป็นโมดูล (Module) เพื่อความสะดวกของผู้ใช้งานให้ผู้ใช้สามารถเลือกใช้งานได้ตามสะดวก ซึ่งจะมาพร้อมกับไฟล์ README ที่ถูกเขียนเป็นภาษาจีน พร้อมคำแทรกที่เกี่ยวข้องกับสิ่งที่กำลังแอบอ้างอยู่ เช่น “TypeScript types,” “high performance,” และ “tests” พร้อมทั้งกล่าวโอ้อวดว่าโมดูล QR Code ที่มีมาด้วยนั้นจะช่วยในการสร้าง และวิเคราะห์ตัวโค้ด พร้อมกลไกการโหลดอัตโนมัติ (Auto-Load) เพื่อโหลดองค์ประกอบของโปรแกรม (Program Component) ขึ้นมาใช้งาน แต่ที่ร้ายกาจคือ มีการซ่อนเร้นความจริง ไม่ยอมบอกผู้ใช้งานว่าถ้ามีการโหลดตัว Library แล้วจะมีการรัน “โค้ดลับ” ที่แอบซ่อนอยู่ภายใน QR Code ด้วย

ซึ่งตัวโค้ดลับดังกล่าวนั้นจะถูกบีบอัด (Minified หรือเรียกอีกอย่างว่า Compressed) ซ่อนไว้ในบล็อกขนาดใหญ่พร้อมคำสั่งกำกับ (Instruction) ว่า “no-operation (no-op)” เพื่อไม่ให้ระบบป้องกันตรวจจับโค้ดดังกล่าวได้ เนื่องจากเข้าใจว่าโค้ดดังกล่าวไม่ได้มีการทำงานบนระบบแต่อย่างใด ซึ่งหลังจากสแกน QR Code แล้วก็จะเกิดการชะลอการทำงาน (Delay) เป็นเวลา 120 วินาที แล้วตามมาด้วยการดาวน์โหลดแพ็คเกจ (แอบอ้าง) และตัวโค้ดลับซึ่งเป็นโค้ดมัลแวร์จากภาพ QR Code ซึ่งตัวโค้ดนั้นจะทำการอ่านไฟล์ Cookie จาก “document.cookie” ที่อยู่บนเครื่องที่เหยื่อใช้สแกนเพื่อขโมยข้อมูลชื่อผู้ใช้งาน (Username) และ รหัสผ่าน (Password) 

ซึ่งถ้ามีการตรวจเจอทั้ง Username และ Password ตัวโค้ดมัลแวร์ก็จะใช้เทคนิค Reverse String (ซึ่งเป็นเทคนิคในการสลับอักษร หรือทำอักษรย้อนกลับ เช่น “password” กลายเป็น “drowssap”) เพื่อป้องกันการถูกตรวจจับโดยระบบวิเคราะห์ หลังจากนั้นจึงนำเอาสิ่งที่ขโมยได้มาบรรจุเป็นแพ็คเกจแล้วส่งกลับไปยังเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ผ่านการใช้งาน HTTP Post Requests แต่ถ้าค้นหาไม่เจอ ตัวมัลแวร์ก็จะแอบซ่อนตัวอยู่ภายในระบบของเหยื่ออย่างเงียบ ๆ จนตรวจจับไม่พบ

ข่าวดีก็คือ แพ็คเกจมัลแวร์ดังกล่าวซึ่งแต่เดิมเคยถูกฝากไว้บน GitHub นั้นได้ถูกลบโดยทีมผู้ดูแลไปแล้ว พร้อมทั้งทำการปักธงว่าเป็นแพ็คเกจอันตราย ถึงแม้จะถูกลบไปแล้วแต่ผู้อ่านทุกรายก็ควรระมัดระวังตัวไว้ทุกเมื่อ เพราะภัยมัลแวร์แบบเงียบได้มาถึงตัว QR Code ที่ถ้าเผลอสแกน ข้อมูลต่าง ๆ อาจจะถูกขโมยได้ ได้กลายเป็นจริงเป็นที่เรียบร้อยแล้ว