พบมัลแวร์ PyStoreRAT บน GitHub อ้างเป็นเครื่องมือพัฒนาซอฟต์แวร์

เมื่อพูดถึงคลังดิจิทัล (Repository หรือ Repo) ที่เป็นแหล่งยอดนิยมสำหรับเหล่านักพัฒนาซอฟต์แวร์ ก็คงจะหนีไม่พ้น GitHub ซึ่งนอกจากจะเป็น Repo ยอดนิยมแล้วยังเป็นแหล่งชุมชน หรือ คอมมูนิตี้ (Community) ของเหล่านักพัฒนาอีกด้วย แต่ที่นี่ก็เป็นแหล่งชุมนุมแฮกเกอร์กับมัลแวร์จำนวนมากเช่นเดียวกัน

จากรายงานโดยเว็บไซต์ Siliconangle ได้กล่าวถึงการที่ทาง Morphisec บริษัทผู้เชี่ยวชาญด้านการพัฒนาโซลูชันรักษาความปลอดภัยของเครื่องมือปลายทาง (Endpoints) ทำการตรวจพบมัลแวร์ประเภทเข้าควบคุมเครื่องของเหยื่อจากระยะไกล หรือ RAT (Remote Access Trojan) ตัวใหม่ ที่มีชื่อว่า “PyStoreRAT” ที่ได้ปลอมตัวแอบอ้างเป็นเครื่องมือสำหรับผู้พัฒนาซอฟต์แวร์ผ่านทาง Repo บน GitHub โดยมีเป้าเพื่อเข้าควบคุม และขโมยข้อมูลลับบนเครื่องของเหยื่อ ซึ่งการหลอกลวงก็เป็นเป็นอย่างแนบเนียน เพราะบน Repo นั้นมีการบรรจุไฟล์ที่ดูน่าเชื่อถืออยู่มากมาย เช่น README ที่มีการเขียนอย่างละเอียดดูดี ภาพกราฟฟิคที่ถูกสร้างขึ้นด้วย AI (Artificial Intelligence หรือ ปัญญาประดิษฐ์) ที่สวยงาม และตัวจำลองการทำงานของฟังก์ชัน เพื่อล่อลวงให้เหยื่อทำการรันโค้ดของมัลแวร์นกต่อ (Loader)

หลังจากที่โค้ดดังกล่าวถูกรันขึ้นมาก็จะเป็นการดาวน์โหลด และรันไฟล์แอปพลิเคชันแบบ HTML ผ่านทาง mshta.exe เพื่อเป็นการลัดเลาะไม่ให้ถูกระบบตรวจจับบนเครื่องสามารถถูกจับได้เมื่อเทียบกับวิธีการแบบดั้งเดิมที่เป็นการรันติดตั้งบนฮาร์ดดิสก์ ซึ่งหลังจากที่รันได้สำเร็จ ตัวมัลแวร์ก็จะเริ่มทำการเก็บข้อมูลต่าง ๆ ของระบบ เช่น ชื่อเครื่อง, ระบบปฏิบัติการที่ใช้งานอยู่, แอปพลิเคชันรักษาความปลอดภัยที่ถูกติดตั้งอยู่ และระดับสิทธิ์ในการเข้าถึงระบบของผู้ใช้งานในปัจจุบัน ก่อนที่จะทำการลงทะเบียนข้อมูลดังกล่าวกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control)

ทางทีมวิจัยยังพบอีกว่า มัลแวร์ดังกล่าวยังมีความสามารถในการหลบเลี่ยงการถูกตรวจพบอย่างมากมาย ไม่ว่าจะเป็น การใช้การยืนยันตัวตนแบบจับมือ หรือ Handshake เป็นราย Session ด้วยการใช้ Token เฉพาะตัวจนตรวจจับได้ยาก ไม่เพียงเท่านั้นตัวมัลแวร์ยังมีความสามารถในการหลบ “ตรรกะ” (Logic) การตรวจจับของเครื่องมือรักษาความปลอดภัยไซเบอร์ในระดับองค์กรชื่อดังอย่าง CrowdStrike Falcon และเครื่องมือชื่อดังอื่น ๆ ด้วยการเปลี่ยน Path สำหรับการรัน หรือ Execution Path ทันทีเมื่อสงสัยว่ากำลังถูกจับตามองอยู่จากเครื่องมือในกลุ่มดังกล่าว

ตัวมัลแวร์ยังมีความสามารถในการคงทนอยู่ภายในระบบของเหยื่อ (Persistence) ด้วยการสร้างตารางการทำงาน (Task Scheduling) ภายใต้ชื่อ “NVIDIA App SelfUpdate” เพื่อหลอกลวงว่าเป็น Task สำหรับการอัปเดตซอฟต์แวร์เกี่ยวกับงานกราฟฟิค ซึ่งตัว Task นี้จะทำงานทุก 10 นาที หรือ ทุกครั้งที่ผู้ใช้งานทำการล็อกอินเข้ามาในระบบ เพื่อรับประกันว่ามัลแวร์จะรันอยู่บนระบบตลอดเวลาแม้จะมีการรีบูทเครื่องใหม่ก็ตาม

นอกจากนั้นตัวมัลแวร์ยังมีการในระบบโมดูล (Module) เปิดโอกาสให้การดาวน์โหลดฟีเจอร์ และความสามารถใหม่ ๆ มาจากเซิร์ฟเวอร์ และความสามารถในการรันด้วยการใช้รูปแบบไฟล์ที่หลากหลาย ไม่ว่าจะเป็นไฟล์แบบ DLL, ไฟล์ติดตั้งแบบ MSI, ไฟล์สคริปท์แบบ PowerShell, ไฟล์ในรูปแบบ Python Archive และไฟล์แบบ HTA (HTML Application) แบบที่กล่าวไปในข้างต้น

ที่ร้ายที่สุดคือ มัลแวร์สามารถทำการขยายการแพร่กระจายในแนวกว้าง (Lateral Movement) ด้วยการฝังตัวเองลงในไดร์ฟ USB ด้วยการเข้าไปแทนที่ไฟล์เดิมภายในไดร์ฟให้เป็นไฟล์ Shortcut ของมัลแวร์ ที่จะทำการรันตัวเองก่อนที่จะรันไฟล์ที่ผู้ใช้งานต้องการเปิดจริง ๆ ทำให้มัลแวร์สามารถแพร่กระจายภายในองค์กรได้อย่างรวดเร็วว่องไว