Malwarebytes เตือน! ตรวจพบแอป 7-Zip ปลอม ดาวน์โหลดแล้วติดมัลแวร์แน่นอน

ซอฟต์แวร์สำหรับการบีบอัดไฟล์นั้น เรียกได้ว่าถึงจะมีอยู่มากมายแต่ที่คุ้นหูก็คงจะมีกันแค่เพียงไม่กี่เจ้า เช่น WinZip, WinRar, และ 7-Zip ซึ่งอย่างหลังนี้ก็ได้กลายมาเป็นประเด็น แต่ไม่ได้มาจากช่องโหว่ความปลอดภัยแบบของ WinZip กับ WinRar แต่มาจากผู้ที่แอบอ้างชื่อไปใช้ในเชิงลบ

จากรายงานโดยเว็บไซต์อย่างเป็นทางการของบริษัทผู้พัฒนาเครื่องมือต่อต้านมัลแวร์ Malwarebytes ได้กล่าวถึงเหตุการณ์ที่สมาชิกของเว็บบอร์ดชื่อดัง Reddit ภายในห้อง r/pcmasterrace ได้เข้ามาตั้งกระทู้เกี่ยวกับการตรวจพบซอฟต์แวร์ 7-Zip ปลอม ซึ่งผู้ใช้งานที่เป็นนักประกอบเครื่องคอมพิวเตอร์ (PC Builder) รายนี้ได้กล่าวว่าได้ดาวน์โหลดซอฟต์แวร์ 7-Zip ปลอมจากเว็บไซต์ 7zip[.]com หลังจากที่ได้ดูวิดีโอการสอนจากบน Youtube แล้วพึ่งมารับทราบภายหลังว่า ว่าเว็บไซต์อย่างเป็นทางการของ 7-Zip นั้นคือ 7-zip.org ไม่ใช่เว็บไซต์ดังกล่าวแต่อย่างใด

ทางผู้ใช้งานยังเปิดเผยอีกว่า หลังจากที่ดาวน์โหลดไฟล์ดังกล่าวลงบนไดร์ฟ USB แล้วนำเอามาติดตั้งลงบนเครื่องที่ประกอบขึ้นมาใหม่นั้น ก็ได้เกิดข้อผิดพลาด (Error) 32‑bit versus 64‑bit ขึ้นบ่อยครั้งจนล้มเลิกการติดตั้ง และหลังจากที่เวลาผ่านไปประมาณ 2 สัปดาห์ ตัว Windows Defender ก็มีการแจ้งเตือนตรวจจับมัลแวร์ที่มีชื่อว่า Trojan:Win32/Malgent!MSR ทำให้สามารถคาดการณ์ได้ว่ามาจากซอฟต์แวร์ 7-Zip ปลอมดังกล่าว

โดยซอฟต์แวร์ 7-Zip ปลอมนี้ ตัวติดตั้ง (Installer) นั้นเมื่อตรวจสอบแล้วพบว่าเป็นการดัดแปลงไฟล์ติดตั้งของจริงที่มีชื่อว่า 7zfm.exe แต่ตัวไฟล์นั้นมีการเซ็นใบรับรอง (Cetificate) ภายใต้ชื่อบริษัทปลอม Jozeal Network Technology Co., Limited ซึ่งใบรับรองดังกล่าวนั้นตรวจพบว่าปัจจุบันได้ถูกยกเลิก (Revoke) ไปเป็นที่เรียบร้อยแล้ว ซึ่งตัวไฟล์นี้ถ้าติดตั้งได้สำเร็จ ก็จะสามารถทำงานได้เหมือนกับ 7-Zip ปกติทุกประการ แต่ภายในนั้นกลับมีการบรรจุองค์ประกอบ (Components) เพิ่มเติมมา 3 ตัว นั่นคือ

• Uphero.exe — ตัวจัดการเซอร์วิส และตัวจัดการอัปเดต (Update loader)
• Hero.exe — ไฟล์ที่ถูกคอมไฟล์ด้วยภาษา Go ทำหน้าที่เป็น Proxy Payload ตัวหลัก เพื่อเปลี่ยนเครื่องของเหยื่อให้เป็น Proxy Node เพื่อให้บุคคลที่สาม (3rd Party) ส่งข้อมูลโดยอาศัยหมายเลข IP ของเหยื่อได้
• Hero.dll — ไฟล์ไลบรารี (Library) สนับสนุน

ซึ่งไฟล์ชุดดังกล่าวนั้นจะถูกวางไว้ในโฟลเดอร์ของระบบ (System) C:WindowsSysWOW64hero ซึ่งเป็นโฟลเดอร์ที่มีสิทธิ์ในการเข้าถึงระบบ (Privilege) ในระดับสูงทำให้มักไม่ถูกตรวจสอบ นอกจากนั้นยังพบว่าไฟล์ชุดนี้มีการใช้ช่องทางอัปเดตที่เป็นอิสระจากตัวติดตั้ง โดยใช้ช่องทาง update.7zip[.]com/version/win-service/1.0.0.2/Uphero.exe.zip อีกด้วย

ตัวไฟล์มัลแวร์หลัก hero.exe จะทำการดึงการตั้งค่า (Configuration) มาจากโดเมนเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ที่ถูกสลับสับเปลี่ยนอยู่เรื่อย ๆ แต่ทุกอันอยู่ภายใต้ธีม “smshero” เพื่อทำการสร้าง Proxy ขาออก (Outbound) ผ่านทางพอร์ต 1000 หรือ 1002 นอกจากนั้นทางทีมวิจัยยังพบอีกว่า มีการใช้การเข้ารหัสแบบ XOR ด้วยกุญแจ (Key) 0x70 เพื่อซ่อนเร้นข้อความคำสั่งอีกด้วย ซึ่งหลังจากที่เครื่องของเหยื่อได้กลายเป็น Proxy Node ภายใต้เครือข่ายโครงสร้างพื้นฐาน (Infrastructure) ของแฮกเกอร์แล้ว เลข IP ของเหยื่อที่ถูกนำมาใช้งานเป็น Proxy เหล่านี้ก็จะถูกนำเอาไปขายต่อให้อาชญากรไซเบอร์รายอื่น ๆ นำเอาไปใช้ในการฉ้อโกง, การปิดบังตัวตนเพื่อก่ออาชญากรรม หรือการเอาไปใช้ในการระดมรับชมโฆษณาเพื่อสร้างรายได้

นอกจากความสามารถหลักแล้ว ตัวมัลแวร์ยังมีความสามารถในการหลีกเลี่ยงการถูกตรวจจับอย่างหลากหลาย เช่น

• การตรวจจับสภาพแวดล้อมจำลองอย่าง VMware, VirtualBox, QEMU และ Parallels
• การต่อต้านการถูกดีบั๊ก (Anti-Debugging)
• การตรวจสอบว่ามีการใช้งาน Runtime API resolution และ PEB
• การตรวจสอบสภาพแวดล้อมของระบบ (Environment) รวมไปถึงการทำ Process Enumeration และ Registry Probing

นอกจากนั้นทางทีมวิจัยยังพบว่าตัวมัลแวร์ยังมีการสนับสนุนระบบการเข้ารหัสเพื่อปกป้องการจราจรของข้อมูล (Traffic) อย่างหลากหลาย เช่น AES, RC4, Camellia, Chaskey, XOR encoding และ Base64 อีกด้วย

เรียกได้ว่ามัลแวร์ดังกล่าวนั้นมีความอันตราย และมีความร้ายกาจจริง ๆ ดังนั้นผู้อ่านจะต้องมีความระมัดระวังในการตรวจสอบแหล่งดาวน์โหลดซอฟต์แวร์ก่อนทุกครั้งที่จะมีการดาวน์โหลดมาติดตั้งบนเครื่องเพื่อความปลอดภัย