แฮกเกอร์ใช้ไฟล์ Zip และสคริปท์ ปล่อยมัลแวร์ Formbook ขโมยข้อมูลเหยื่อ

การใช้ไฟล์ประเภทบีบอัดอย่างไฟล์ Zip นั้น เรียกได้ว่าเป็นวิธีการแบบคลาสสิคในการปล่อยมัลแวร์ลงบนเครื่องของเหยื่อ เพราะเหยื่อแทบจะไม่มีทางรู้ได้เลยว่าภายในไฟล์บีบอัดนั้นมีอะไรซ่อนอยู่บ้าง แต่เทคนิคในการใช้งานไฟล์ Zip ก็มีหลากรูปแบบ บางรูปแบบก็เป็นวิธีการในระดับสูง เช่นในข่าวนี้

จากรายงานโดยเว็บไซต์ Cyberpress ได้กล่าวถึงวิธีการแพร่กระจายมัลแวร์ประเภทขโมยข้อมูลจากเครื่องของเหยื่อ หรือ Infostealer ที่มีชื่อว่า Formbook ด้วยการใช้ไฟล์บีบอัดแบบ Zip โดยส่งเป็นไฟล์แนบบนอีเมลหลอกลวงแบบ Phishing คล้ายคลึงกับการแพร่กระจายมัลแวร์ตัวอื่น ๆ แต่การแพร่กระจายมัลแวร์นั้นก็ไม่ใช่การใส่ไฟล์มัลแวร์ลงในไฟล์ Zip ไปเลยเหมือนวิธีการแบบมือใหม่ แต่กลับใช้วิธีในรูปแบบเทคนิคระดับสูงมากขึ้น นั้นคือ การใส่ไฟล์แบบ VBS หรือ Visual Basic Script ที่มีชื่อว่า 

Payment_confirmation_copy_30K__202512110937495663904650431.vbs 

(SHA256: d9bd350b04cd2540bbcbf9da1f3321f8c6bba1d8fe31de63d5afaf18a735744f)

โดยจากชื่อคาดว่าจะเป็นไฟล์ที่หลอกลวงว่าเป็นใบยืนยันการชำระเงิน ซึ่งไฟล์ดังกล่าวนี้ถูกปักธงว่าเป็นไฟล์อันตราย (Flag) โดยแอปพลิเคชันแอนตี้ไวรัสมากกว่า 17 ตัว จาก 65 ตัว จากการประเมินโดยเว็บไซต์ตรวจไวรัสชื่อดังอย่าง VirusTotal โดยจุดประสงค์ในการใช้ไฟล์ดังกล่าวแทนไฟล์มัลแวร์ตรง ๆ นั้นก็เพื่อที่จะตีรวนระบบตรวจจับ (Obfuscation) ให้สับสนในจุดประสงค์ที่แท้จริงของตัวโค้ดนี้ โดยการฝังตัวของมัลแวร์จะเริ่มต้นขึ้นด้วยการใช้งาน Delay Loop ความยาว 9 วินาที แทนการใช้ฟังก์ชัน Sleep() เพื่อหลีกเลี่ยงการถูกตรวจจับด้วยเครื่องมือตรวจจับแบบตรวจจับพฤติกรรมของมัลแวร์ (Heuristic Detection)

นอกจากนั้น ตัวสคริปท์มัลแวร์นี้ยังได้เพิ่มความซับซ้อนขึ้นไปอีก ด้วยการใช้วิธีการสร้างคำสั่ง PowerShell ด้วยการรวบรวมค่าสตริงที่อยู่กันกระจัดกระจาย โดยตัวโค้ดนั้นมีการเข้ารหัสแม้กระทั่งคำว่า PowerShell ผ่านการคำนวณค่า ASCII ที่มีความซับซ้อน ช่วยสร้างความสับสนให้กับระบบป้องกันมากขึ้นไปอีกขั้น ซึ่งหลังจากที่ประกอบคำสั่ง PowerShell เสร็จเรียบร้อยแล้ว ตัวสคริปท์ก็จะทำการรัน PowerShell ขึ้นมาด้วยการใช้ Object ของ Shell.Application ซึ่งในส่วนของ PowerShell นี้ก็มีการสร้างความสับสนให้กับระบบป้องกันเช่นเดียวกัน ผ่านการใช้งาน Microcoulomb และ Blokbogstavers65 ซึ่งตัวแรกนั้นจะใช้งานเพื่อรวบรวมค่าต่าง ๆ ขึ้นมาเป็นโค้ดมัลแวร์ ขณะที่ตัวหลังจะทำหน้าที่ในการรันโค้ดนั้นด้วยการใช้งาน Invoke-Expression ตัวอย่างเช่น ค่าตัวแปร $mesoventrally จะถูกถอดออกมาเป็นค่าสตริงที่มีชื่อว่า nET.wEBClIent ซึ่งหมายถึงการใช้เว็บฟังก์ชันของ .NET ในการดาวน์โหลดไฟล์มัลแวร์ (Payload) ลงมาบนเครื่องของเหยื่อ

ซึ่งหลังจากที่ PowerShell ทำงานได้แล้ว ตัวโค้ดคำสั่ง PowerShell ก็จะทำการดาวน์โหลด Payload มาจาก Google Drive ผ่านลิงก์

hxxps://drive[.]google[.]com/uc?export=download&id=1jFn0CatcuICOIjBsP_WxcI_faBI9WA9S

ซึ่ง Payload ดังกล่าวนั้นจะถูกดาวน์โหลดไฟยังโฟลเดอร์ที่มีชื่อว่า C:UsersREMAppDataRoamingbudene.con แล้วจึงเข้าสู่ขั้นตอนในการถอดรหัส และรันสคริปท์ PowerShell อีกตัวหนึ่งขึ้นมา ซึ่งจะนำไปสู่ขั้นต่อไปคือ การยิง Process ลงไปยัง Process ที่มีชื่อว่า msiexec.exe ด้วยการรันไฟล์ Payload อีกตัวหนึ่งที่มีชื่อว่า

C:UsersREMAppDataLocalTempbin.exe 

(SHA256: 12a0f592ba833fb80cc286e28a36dcdef041b7fc086a7988a02d9d55ef4c0a9d)

ซึ่งจากการวิเคราะห์ ทางนักวิจัยภัยไซเบอร์พบว่าไฟล์ดังกล่าวนั้นเป็นไฟล์ Payload ตัวจริงของตัวมัลแวร์ Formbook ที่มีความสามารถในการขโมยรหัสผ่าน, แอบบันทึกภาพหน้าจอ และดักจับการพิมพ์ของเหยื่อ โดยหลังจากที่มัลแวร์ฝังตัว และรันตัวเองได้สำเร็จ ตัวมัลแวร์ก็จะทำการติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ไปยังหมายเลขที่อยู่ไอพี 216[.]250[.]252[.]227:7719 ในทันที เพื่อรอรับคำสั่งจากทางเซิร์ฟเวอร์ต่อไป