ระวัง กระเป๋าเงินบิทคอยน์ปลอมระบาด โหลดแล้วอาจติดมัลแวร์ DarkComet RAT

ด้วยการที่เหรียญคริปโตเคอร์เรนซี โดยเฉพาะ บิทคอยน์ (Bitcoin) เป็นที่นิยมเป็นอย่างมาก ทำให้แฮกเกอร์นั้นไม่พลาดที่จะสร้างแอปพลิเคชันกระเป๋าเงิน (Wallet) ปลอม เพื่อล่อลวงฝังมัลแวร์ลงเครื่องของเหยื่อเหยื่อ อย่างเช่นข่าวนี้

จากรายงานโดยเว็บไซต์ Cyberpress ได้กล่าวถึงการตรวจพบมัลแวร์ประเภทเข้าควบคุมเครื่องของเหยื่อ (RAT หรือ Remote Access Trojan) ที่มีชื่อว่า DarkComet ซึ่งเป็นมัลแวร์ที่มีความสามารถในการขโมยข้อมูลบนเครื่องของเหยื่ออย่างมากมาย โดยมัลแวร์ดังกล่าวนั้นได้สมอ้างเป็นกระเป๋าบิทคอยน์ที่มีอยู่จริงชื่อว่า 94k BTC Wallet ทว่าไฟล์ติดตั้งที่มีชื่อว่า “94k BTC wallet.exe” กลับเป็นของปลอมที่ภายในนั้นไฟล์มัลแวร์ซ่อนอยู่ โดยแฮกเกอร์นั้นจะทำการซ่อนไฟล์ดังกล่าวไว้ในไฟล์บีบอัดนามสกุล .rar ซึ่งทางแหล่งข่าวไม่ได้เปิดเผยว่าแฮกเกอร์นั้นใช้วิธีการใดในการเผยแพร่ หรือหลอกลวงเหยื่อให้ดาวน์โหลดไฟล์ดังกล่าวลงไปติดตั้ง

ซึ่งทางแหล่งข่าวนั้นได้ทำการวิเคราะห์เจาะลึกไฟล์ดังกล่าวก็พบว่า ตัวไฟล์ .exe นั้นถูกแพ็คด้วยการใช้เทคนิค Ultimate Packer for Executables (UPX) ซึ่งเป็นเทคนิคการสร้างแพ็คเกจไฟล์ที่กลุ่มนักพัฒนามัลแวร์มักใช้เพื่อหลีกเลี่ยงการถูกตรวจจับด้วยเทคนิคการตรวจจับอัตลักษณ์ของมัลแวร์ (Signature-based Detection) ซึ่งการตรวจพบนั้นมาจากการที่แหล่งข่าวได้ทำการตรวจสอบไฟล์ด้วยการใช้งานเครื่องมืออย่าง CFF Explorer แล้วพบว่าภายในไฟล์นั้นมีส่วน (Section) ที่บ่งบอกถึงการใช้งานเทคนิคดังกล่าวอย่าง UPX0 และ UPX1 อยู่บนไฟล์ โดยหลังจากคลายไฟล์มากแล้ว ตัวไฟล์จะขยายจากขนาด 325 KB เป็น 742 KB พร้อมทั้งคืนสภาพไฟล์ในกลุ่ม Portable Executable อย่างกลุ่มไฟล์สกุล .text, .data, และ .rdata ที่ถูกบรรจุภายในไฟล์ .exe นั้นออกมา

จากการตรวจสอบหนึ่งในไฟล์ที่ถูกคลายออกมานั้น พบว่าตัวไฟล์ที่มีรหัสตรวจสอบในรูปแบบ SHA265 

58c284e7bbeacb5e1f91596660d33d0407d138ae0be545f59027f8787da75eda

นั้น เป็นไฟล์มัลแวร์ DarkComet RAT ที่ถูกสร้างขึ้นด้วยเครื่องมืออย่าง Borland Delphi 2006 โดยหลังจากที่ตัวไฟล์มัลแวร์ดังกล่าวถูกติดตั้งลงบนเครื่องของเหยื่อ ตัวไฟล์ก็จะทำการฝังตัวเองลงในโฟลเดอร์ AppDataRoamingMSDCSC ภายใต้ชื่อธรรมดา ๆ อย่าง “explorer.exe” ซึ่งคล้ายคลึงกับไฟล์ระบบตัวหนึ่งบน Windows หลังจากนั้นจึงทำการการสร้างความคงทนบนระบบ (Persistence) ด้วยการแก้ไขในส่วนของ Run บน Windows Registry เพื่อรับประกันว่าตัวมัลแวร์จะถูกรันขึ้นมาใหม่ทุกครั้งหลังจากที่ตัวเครื่องถูกรีสตาร์ทขึ้นมา

ในด้านพฤติกรรมการทำงานของมัลแวร์นั้น พบว่าตัวมัลแวร์มีการใช้งาน Mutex (Mutual Exclusion หรือระบบควบคุมการเข้าถึงใช้งานทรัพยากร) ชื่อว่า DC_MUTEX-ARULYYD เพื่อป้องกันไม่ให้ Instance หลายตัวทำงานพร้อมกัน และจากการตรวจสอบกับเครือข่ายก็พบว่า ตัวมัลแวร์นั้นได้มีการติดต่อการเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ที่ถูกตั้งอยู่บน kvejo991.ddns[.]net ผ่านทางพอร์ต TCP หมายเลข 1604

นอกจากนั้น ยังพบว่าตัวมัลแวร์มีการเริ่มต้น (Initiating) Process อย่าง cmd.exe และ conhost.exe ขึ้นมาหลายครั้ง แล้วจึงมีการเรียกใช้งาน notepad.exe ขึ้นมาเป็นตัวล่อ (Decoy) ในขั้นตอนการยิง Process ของตัวมัลแวร์ลงไปยัง Process ดังกล่าวข้างต้นเพื่อแอบทำงานบนระบบโดยที่ระบบตรวจสอบไม่รู้ตัว ในขณะเดียวกันตัวมัลแวร์ก็จะทำการรันเครื่องมือตรวจจับการพิมพ์ (Keylogger) ขึ้นมาเพื่อแอบเก็บข้อมูลที่เหยื่อพิมพ์ โดยข้อมูลจะถูกเก็บลงบนโฟลเดอร์อย่าง dclogs ซึ่งข้อมูลที่มัลแวร์เพ่งเล็งขโมยนั้นมักจะเป็นข้อมูลรหัสผ่านต่าง ๆ รวมถึงข้อมูลเกี่ยวกับกระเป๋าคริปโตเคอร์เรนซี โดยข้อมูลที่ขโมยมาได้จะถูกส่งกลับไปยังเซิร์ฟเวอร์ C2 ตามที่กล่าวไว้ข้างต้น