พบมัลแวร์ปลอมตัวเป็นไฟล์ SVG ถึง 2 ชนิด Amatera Stealer และ PureMiner แพร่กระจายผ่านทางอีเมล

การซ่อนมัลแวร์ไว้ในรูปภาพนั้นถ้าเป็นในสมัยก่อนอาจถูกมองว่าเป็นไปไม่ได้ เป็นเรื่องตลก แต่ในสมัยนี้ก็กลายเป็นกรณีที่เกิดขึ้นได้บ่อยแล้ว โดยเฉพาะในไฟล์รูปแบบ SVG ซึ่งเป็นไฟล์รูปภาพที่มีองค์ประกอบอันซับซ้อน และแตกต่างจากไฟล์ยอดนิยมในรูปแบบ JPG และในครั้งนี้ก็เป็นอีกครั้งหนึ่งที่ไฟล์ประเภท SVG ได้กลับมาเป็นพาหะในการส่งมัลแวร์อีกครั้ง

จากรายงานโดยเว็บไซต์ Scworld ได้กล่าวถึงการตรวจพบแคมเปญแพร่กระจายมัลแวร์ประเภทขโมยข้อมูล หรือ Infostealer ชื่อ Amatera Stealer และ มัลแวร์ประเภทใช้ทรัพยากรเครื่องของเหยื่อเพื่อขุดเหรียญคริปโตเคอร์เรนซี (Crypto Miner) ที่มีชื่อว่า PureMiner ผ่านทางอีเมล ซึ่งการแพร่มัลแวร์ผ่านทางอีเมลด้วยวิธีการหลอกลวงแบบ Phishing อาจจะฟังดูเป็นเรื่องธรรมดาที่แฮกเกอร์มักทำกัน แต่ที่พิเศษไปกว่าก็คือ แทนที่จะใช้ไฟล์แอบซ่อนแบบ .Zip หรือไฟล์เอกสารหลอกลวงต่าง ๆ กลับเป็นการใช้ไฟล์รูปแบบ นามสกุล SVG มาเป็นพาหะในการส่งมัลแวร์ลงเครื่องของเหยื่อแทน

โดยแคมเปญในครั้งนี้จะมุ่งเน้นไปยังกลุ่มชาวยูเครน ด้วยอีเมลที่อ้างว่ามาจากสำนักงานตำรวจแห่งชาติของประเทศยูเครน (National Police of Ukraine) หลอกเหยื่อว่าเป็นการแจ้งเตือนถึงการกระทำที่ผิดกฎหมายพร้อมไฟล์รูปที่มีชื่อว่า elektronni_zapit_NPU.svg โดยไฟล์รูปนี้จะมีการแอบซ่อนโค้ด HTML ไว้ในส่วน iframe ด้วยวิธีการ Embeded โดยโค้ดนี้จะทำหน้าที่ในการดาวน์โหลดไฟล์ SVG ตัวที่ 2 ลงมาจากเซิร์ฟเวอร์ภายนอก ซึ่งไฟล์ SVG ตัวที่ 2 เมื่อถูกเปิดขึ้นมาจะเป็นการหลอกเหยื่อว่าเป็นหน้าจอเปิดใช้งานแอป Adobe Acrobat Reader พร้อมเอกสารใบแจ้งเตือนจากตำรวจที่อยู่ภายใน และปุ่ม Download

ซึ่งการดาวน์โหลดนั้นจะนำไปสู่การโหลดไฟล์สกุล CHM (Compiled HTML Help) และไฟล์ที่มีการ Embeded โค้ด HTML ที่มี Shortcut Object อยู่ภายใน อันจะนำไปสู่การรันแอปพลิเคชันแบบ HTML หรือ HTA ขึ้นมา โดยไฟล์ HTA ตัวหลังนั้นจะมีการเข้ารหัส (Encode) ในส่วนของค่า String และ Array ไว้เพื่อสร้างความสับสนให้กับระบบตรวจจับภัยไซเบอร์ (Obfuscation) เพื่อทำการดาวน์โหลด และรันมัลแวร์นกต่อที่มีชื่อว่า CountLoader ซึ่งมัลแวร์นกต่อตัวนี้จะทำหน้าที่ในการเชื่อมต่อเพื่อติดต่อสื่อสารกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) และทำการสำรวจลาดเลาระบบของเหยื่อ (Reconnaissance) ก่อนที่จะดาวน์โหลดไฟล์มัลแวร์ (Payload) ชุดสุดท้ายลงมา โดย Payload ชุดสุดท้ายจะเป็นไฟล์บีบอัดสกุล .Zip 2 ไฟล์ ที่มีชื่อว่า

• Ergosystem.zip เป็นมัลแวร์ PureMiner
• smtpB.zip เป็นมัลแวร์ Amatera Stealer

ซึ่งมัลแวร์ทั้ง 2 ตัวนั้นมีจุดที่เหมือนกันคือ จะเป็นการทำงานแบบไร้ไฟล์ (Fileless) โดยมัลแวร์ Amatera Stealer จะทำงานด้วยการยิงโค้ดบน Payload เพื่อรันทำงานบนหน่วยความจำโดยตรง (In-Memory) ด้วยการใช้มัลแวร์นกต่อ (Loader) ของตัวมันเองโดยตรงที่อยู่ในไฟล์ Zip ตัวที่ 2 เพื่อฉีดโค้ด (Injection) มัลแวร์ในรูปแบบโค้ดภาษา Python ลงไปบนหน่วยความจำ ขณะที่ PureMiner จะใช้เทคนิค DLL Sideloading เพื่อดาวน์โหลด DLL ที่ทำหน้าที่เป็นตัวยิง หรือ Injector ซึ่งถูกเขียนด้วยภาษา .NET และมีการคอมไพล์ในรูปแบบ Ahead-of-Time Compilation (AOT) ฉีดลงไปในส่วนของ Process โดยปลอมตัวเองให้เหมือนกับ Process ธรรมดาตัวอื่น ๆ

ในด้านความสามารถของมัลแวร์นั้น มัลแวร์ Amatera Stealer นับเป็นมัลแวร์ขโมยข้อมูลตัวหนึ่งที่มีความสามารถที่ร้ายกาจ ทั้งในด้านการขโมยข้อมูลที่ครอบคลุมข้อมูลหลากประเภท ตั้งแต่ข้อมูลพื้นฐานของตัวระบบของเหยื่อ, Process ต่าง ๆ บนเครื่องที่กำลังทำงานอยู่, ข้อมูลซอฟต์แวร์ต่าง ๆ ที่ติดตั้งอยู่บนเครื่อง, ข้อมูลบน Clipboard, ข้อมูลกระเป๋าคริปโตเคอร์เรนซี ทั้งยังขโมยไฟล์ได้หลากสกุล ทั้ง .pdf, .docx, .xls และ .jpg เป็นต้น นอกจากนั้น ยังมีความสามารถในการแอบบันทึกหน้าจอของเหยื่อ และขโมยข้อมูลอ่อนไหวอื่น ๆ เช่น ไฟล์ Cookie, ข้อมูลการล็อกอินต่าง ๆ, รวมทั้งข้อมูลอ่อนไหวจากบนเบราว์เซอร์ที่ถูกสร้างขึ้นบนพื้นฐานของ Chromium และ Gecko เช่น Firefox และ Chrome อีกด้วย

สำหรับมัลแวร์ PureMiner นั้น จะครอบคลุมการขุดเหรียญคริปโต ทั้งในรูปแบบการใช้ GPU และ CPU โดยก่อนเริ่มต้นการทำงาน ตัวมัลแวร์จะทำการเก็บข้อมูลฮาร์ดแวร์เครื่อง ด้วยการใช้ API จาก AMD Display Library และ NVIDIA Library ซึ่งข้อมูลที่เก็บนั้นจะครอบคลุมไปถึงปริมาณหน่วยความจำทั้งหมด และหน่วยความจำที่กำลังใช้งานอยู่ รวมไปถึงการตรวจสอบในส่วนของ Video Adaptor ผ่านการดึงข้อมูลจากในส่วนของ Registry ซึ่งข้อมูลทั้งหมดนี้จะถูกส่งในรูปแบบไฟล์เข้ารหัสกลับไปยังเซิร์ฟเวอร์ C2 ซึ่งตัวมัลแวร์นอกจากการขุดเหรียญคริปโตแล้ว ยังมีความสามารถในการตรวจสอบหาเครื่องมือตรวจจับ และวิเคราะห์มัลแวร์อย่าง Process Hacker ได้อีกด้วย

นอกจากข้อมูลของมัลแวร์ทั้ง 2 ตัวแล้ว ทางทีมวิจัยจาก Fortinet บริษัทผู้เชี่ยวชาญด้านระบบรักษาความปลอดภัยไซเบอร์ซึ่งเป็นผู้ตรวจพบแคมเปญดังกล่าว ยังได้กล่าวอีกว่าปริมาณการใช้ไฟล์ SVG เพื่อแพร่กระจายมัลแวร์ในช่วงครึ่งปีแรกของปีนี้นั้นพุ่งสูงขึ้นกว่า 40% เลยทีเดียวเมื่อเทียบกับปีก่อน โดยวิธีการแพร่กระจายมัลแวร์ด้วยการอาศัยไฟล์รูปภาพอย่าง ไฟล์ SVG และ IMG นั้นมีประสิทธิภาพสูงมาก โดย 70% ของการโจมตีนั้น สามารถฝ่าระบบป้องกันในส่วนของ Email Gateway ไปได้อย่างง่ายดาย ดังนั้น ขอให้ผู้อ่านมีความระมัดระวังตัวกับไฟล์รูปภาพบนอีเมลให้มาก