ພົບ Banking Trojan ໃຊ້ເຕັກນິກໃໝ່ຫຼີກລ້ຽງການກວດສອບຂອງ Antivirus ແລະ Browser
Posted by Meesaisak on June 06 2018 13:17:28

ພົບ​ Banking Trojan ໃຊ້​ເຕັກ​ນິກ​ໃໝ່​ຫຼີກລ້ຽງ​ການ​ກວດສອບ​ຂອງ​ Antivirus ແລະ​ Browser 

ນັກ​ວິ​ໄຈ​ຈາກ​ ESET ໄດ້​ລາຍ​ງານການ​ພົບ​ເຫັນ Banking Trojan ທີ່​ມີ​ການ​ໃຊ້​ເຕັກ​ນິກ​ໃໝ່​ເພື່ອ​ຫຼົບ​ຫຼີກ​ການ​ກວດ​ຈັບ​ຂອງ​ Antivirus ແລະ ​ການ​ປ້ອງ​ກັນ​ດ້ານ​ຄວາມ​ປອດ​ໄພ​ໃນ​ລະ​ດັບ​ Browser ໂດຍ​ໃຫ້​ຊື່​ມັນ​ແວໂຕ​ນີ້​ວ່າ​ BackSwap ນອກ​ຈາກ​ນັ້ນ ​ໄດ້ຄາດ​​ວ່າ​ເຕັກ​ນິກ​ໃໝ່​ທີ່​ບໍ່​ເຄີຍ​ພົບ​ເຫັນ​ມາ​ກ່ອນ​ນີ້ ​ຈະ​ກາຍມາ​ເປັນ​ຕົ້ນ​ແບບ​ການ​ໂຈມ​ຕີ​ໃຫ້​ແຮັກ​ເກີ​ (Hacker) ກຸ່ມ​ອື່ນ​ໆ​ຕໍ່ໄປ​ໃນ​ອະນາຄົດ​.

News Images: trojanbanking.jpg


Extended News

ພົບ​ Banking Trojan ໃຊ້​ເຕັກ​ນິກ​ໃໝ່​ຫຼີກລ້ຽງ​ການ​ກວດສອບ​ຂອງ​ Antivirus ແລະ​ Browser 

ນັກ​ວິ​ໄຈ​ຈາກ​ ESET ໄດ້​ລາຍ​ງານການ​ພົບ​ເຫັນ Banking Trojan ທີ່​ມີ​ການ​ໃຊ້​ເຕັກ​ນິກ​ໃໝ່​ເພື່ອ​ຫຼົບ​ຫຼີກ​ການ​ກວດ​ຈັບ​ຂອງ​ Antivirus ແລະ ​ການ​ປ້ອງ​ກັນ​ດ້ານ​ຄວາມ​ປອດ​ໄພ​ໃນ​ລະ​ດັບ​ Browser ໂດຍ​ໃຫ້​ຊື່​ມັນ​ແວໂຕ​ນີ້​ວ່າ​ BackSwap ນອກ​ຈາກ​ນັ້ນ ​ໄດ້ຄາດ​​ວ່າ​ເຕັກ​ນິກ​ໃໝ່​ທີ່​ບໍ່​ເຄີຍ​ພົບ​ເຫັນ​ມາ​ກ່ອນ​ນີ້ ​ຈະ​ກາຍມາ​ເປັນ​ຕົ້ນ​ແບບ​ການ​ໂຈມ​ຕີ​ໃຫ້​ແຮັກ​ເກີ​ (Hacker) ກຸ່ມ​ອື່ນ​ໆ​ຕໍ່ໄປ​ໃນ​ອະນາຄົດ​.

News Images: trojanbanking.jpg

ເຕັກ​ນິກ​ຂອງ​ Banking Trojan ແບບ​ເກົ່າ​ ມີ​ 2 ວິທີ​ຄື:

  1. ແກ້​ໄຂ​ Local DNS ແລະ ​ການຕັ້ງ​ຄ່າ​ອິນ​ເຕີເນັດ​ຂອງ​ຜູ້​ໃຊ້​ງານ​ ໂດຍ​ການ​ດັກ​ຈັບ​ການ​ເອີ້ນ​ໃຊ້​ງານ​ເວັບໄຊ​ຂອງ​ທຸລະກຳການ​ເງິນ​ ແລະ​ Redirect ຜູ້​ໃຊ້​ຜ່ານ​ Proxy ໄປຫາໜ້າ​ເວັບ​ປອມແປງ (Phishing) ​ໜ້າ​ທຸລະ​ກຳການ​ເງິນ​ແທ້ ​ເພື່ອ​ຫຼອກ​ໃຫ້​ໃສ່​ Credentials.
  2. Inject ໂຄ້ດ​ (Code) ອັນຕະລາຍ​ເຂົ້າໄປ​ທີ່​ໂປຣ​ເຊດ (Process) ​ຂອງ​ Browser ຊຶ່ງ​ວິທີ​ການ​ນີ້​ທີ່ຜ່ານມາ​ Banking Trojan ​ ທີ່ມີຊື່ສຽງຫຼາຍ​ໂຕນິຍົມ​ຫຼາຍ​ ເຊັ່ນ​ Dridex, Ursnif, Zbot, Trickbot, Qbot ແລະ​ ອື່ນ​ໆ​ ຢ່າງໃດ​ກໍ່ຕາມ ​ບັນດາ​ Browser ຫຼື​ Antivirus ທັງ​ຫຼາຍ​ເລີ່ມ​ຮູ້​ທັນ​ ຈຶ່ງ​ມີ​ການ​ປັບ​ປຸງ​​ເຮັດ​ໃຫ້​ຍາກ​ຂຶ້ນຫຼາຍ​ ຈົນ​ອາດ​ຈະກາຍ​ເປັນ​ສາ​ເຫດ​ທີ່ຄົ​ນ​ຮ້າຍ​ຍ້າຍ​ໄປ​ໂຈມ​ຕີ​ຊ່ອງ​ທາງ​ອື່ນ​ແທນ​ ເຊັ່ນ​: in-browser Miner, Ransomware ຫຼື ​ອື່ນ​ໆ​.

ລາຍ​ງານ​ຂອງ​ ESET ໄດ້​ເປີດເຜີຍ​ເຖິງ​ເຕັກ​ນິກ​ໃໝ່​ 3 ເຕັກ​ນິກ ​ຊຶ່ງ​ຕ່າງ​ກັບ​ວິທີ​ການ​ແບບເກົ່າ ດັ່ງ​ນີ້​:

1. ເຕັກ​ນິກ​ທີ່​ໃຊ້​ກວດ​ຈັບ​ການ​ເອີ້ນ​ໃຊ້​ງານ​ເວັບ​ໄຊ​​ດ້ານ​ການ​ເງິນ​

          ໂທຣ​ຈັນ (Trojan) ​ໂຕນີ້​ໄດ້​ອາໄສ​ກົນ​ໄກ​ຂອງ​ Windows ປົກກະຕິ​​ເອີ້ນວ່າ​ ‘Message Loop‘ (ເນື່ອງ​ຈາກ​ການ​ຂຽນ​ GUI ແບບ​ Windows ເປັນ​ Event Driven ທີ່​ມີ​ Queue ເພື່ອ​ເກັບ​ຂໍ້ຄວາມ​ຂອງ​ Action Message ດັ່ງ​ນັ້ນ ​​ຜູ້​ຂຽນ​ໂປຣ​ແກຣມ​ໃນ​ Windows ທີ່​ໃຊ້​ງານ​ GUI ຈຶ່ງ​ມັກ​ມີ​ການ​ໃຊ້​ງານ​ໂຄ້ດ​ວົນ​ລູບ (Loopback) ​ເພື່ອຖ້າ​ຮັບ​ຄຳ​ສັ່ງ​ຈາກ​ຜູ້​ໃຊ້​) ເພື່ອ​ດັກ​ຈັບ​ຮູບ​ແບບ​ຂອງ​ URL ທີ່​ຕ້ອງ​ການ​ ເຊັ່ນ:​ HTTPS ຫຼື​ ຊື່​ຂອງ​ທະ​ນາ​ຄານ​ທີ່ສົ​ນ​ໃຈ​ ເນື່ອງ​ຈາກວ່າ​ Browser ກໍ່​ເປັນ​ໜຶ່ງ​ແອັບ​ພິ​ເຄ​ຊັ່ນ​ທີ່​ມີ​ GUI ຄືກັນ​.

          BackSwap ໄດ້​ເລືອກ​ໃຊ້​ເຕັກ​ນິກ​ການ​ປອມ​ແປງ​ການ​ກົດ​ຄີ (key press) ແບບໃດແບບໜຶ່ງ ຈາກ​ດ້ານ​ລຸ່ມ​ເພື່ອ​ເຮັດໃຫ້​ເນຶ້ອ​ຫາ​ທີ່​ໂຫຼດ​ມາ​ນັ້ນ​ເປັນ​ໄປ​ຕາມ​ທີ່​ຕ້ອງ​ການ​.

2. ມັນ​ແວ​​ໃຊ້​ Developer Console ຂອງ​ Browser ແບບ​ຜິດ​ວັດ​ຖຸປະ​ສົງ​​

1) ໃສ່​ Script ອັນຕະລາຍ​ໄວ້​ໃນ​ Clipboard;

2)  ເຮັດໃຫ້​ໜ້າ​ຕ່າງ​ຂອງ​ Browser ເບິ່ງ​ບໍ່​ເຫັນ​;

3) ປອມ​ແປງ​ການ​ກົດ​ຄີ​ເພື່ອ​ເປີດ​ Browser Console ໃນ​ໂໝດ​ Developer (ໃນ​ Chrome ໃຊ້​ CTRL+SHIFT+J, ໃນ​ Firefox ໃຊ້​ CTRL+SHIFT+K);

4) ປອມ​ແປງ​ການ​ກົດ​ຄີ​ Paste (CTRL+V) ເພື່ອ​ແປະ​ເນື້ອ​ຫາຂອງ​ Clipboard ໄວ້​ໃນ​ Developer Console;

5) ປອມ​ແປງ​ການ​ກົດ​ຄີ​​ Enter ເພື່ອ​ເລີ່ມ​ຕົ້ນ​ການ​ເຮັດ​ວຽກງານ​ໂຄ້ດ​ອັນຕະລາຍ​;

6) ໂຄ້ດ​ອັນຕະລາຍ​ເຂົ້າໄປ​ແກ້​ໄຂ​ເນື້ອ​ຫາ​ໜ້າ​ Portal ຂອງ​ທຸລະ​ກຳການ​ເງິນ​ ​ເພື່ອ​ຄວບ​ຄຸມ​ໃຫ້​ຜູ້​ໃຊ້​ເຫັນ​ຕາມ​ທີ່​ແຮັກ​ເກີ​ຕ້ອງ​ການ​;

7) ປອມ​ແປງ​ການ​ກົດ​ຄີ​​ເພື່ອ​ປິດ​ໜ້າ​ຕ່າງ​ Browser Console ໂໝດ​ Developer;

8) ເຮັດໃຫ້​ໜ້າ​ຕ່າງ​ຂອງ​ Browser ເບິ່ງ​ເຫັນ​ໄດ້​ອີກ​ເທື່ອ​ໜຶ່ງ​.

          ເບິ່ງ​ແລ້ວຄືກັບວ່າ​ຫຼາຍ​ຂັ້ນ​ຕອນ ​ແຕ່ເມື່ອ​ໃຊ້ງານ​ດ້ວຍ​ໂຄ້ດ​ອັດ​ຕະໂນ​ມັ​ດ ​ສິ່ງເຫຼົ່ານີ້​ຈະ​ເກີດ​ຂຶ້ນ​ໄວ​ຫຼາຍ​ ດັ່ງ​ນັ້ນ​ຜູ້​ໃຊ້​ງານ​ສ່ວນ​ໃຫຍ່​ອາດຈະ​ບໍ່​ທັນ​ສັງເກດ​ເຖິງ​ຄວາມ​ຜິິ​ດ​ປົກກະຕິ​ເລີຍ​ ແລະ ​ບໍ່​ສາມາດ​ໄຈ້ແຍກ​​ວ່າ​ເປັນ​ Browser ປົກກະຕິ​ ຫຼື ​ເປັນ​ພຽງ​ອາການ​ຍຸດ​ສະ​ງັກ​ເທົ່າ​ນັ້ນ.​

3. ມັນ​ແວ​ໃຊ້​ໂປຣ​ໂຕຄອນ (Protocol)​ JavaScript ຜ່ານ​ Address Bar

1) ມັນ​ແວ​​ຈຳ​ລອງ​ການ​ກົດ​ຄີ​​ CTRL + L ເພື່ອ​ເລືອກ​ທີ່​ Address Bar ຂອງ​ Browser;

2) ຈຳ​ລອງ​ກົດ​ຄີ​​ DELETE ເພື່ອ​ລຶບ​ຄ່າ​ໃນ​ URL;

3) ພິມ​ “javascript:” ໃນ​ Address bar ແຕ່​ພິມ​ເທື່ອ​ລະ​ໂຕ​ເພື່ອ​ຫຼີກ​ລ່ຽງ​ການ​ປ້ອງ​ກັນ​ XSS ຂອງ​ Browser;

4) ວາງ​ໂຄ້ດ​ອັນຕະລາຍ​ຕໍ່​ຫຼັງ​ “javascript:”;

5) ຈຳ​ລອງ​ການ​ກົດ​ຄີ​​ເພື່ອ​ Execute code;

6) ລຶບ​ຄ່າ​ໃນ​ Address Bar ເພື່ອກົບ​ເກື່ອນ​ຮ່ອງ​ຮອຍ​;

          ESET ກ່າວ​ວ່າ​ການ​ໂຈມ​ຕີ​ນີ້​ຮອງ​ຮັບ​ກັບ​ Browser ເຊັ່ນ:​ Chrome, Firefox ແລະ​ IE ແຕ່​ຖ້າ​ປັບ​ປ່ຽນ​ເລັກໜ້ອຍ​ກໍ່​ໜ້າ​ຈະ​ໃຊ້​ໄດ້​ກັບ​ທຸກ​ Browser ສະໄໝ​ໃໝ່ ​ທີ່​ຮອງ​ຮັບ​ Console Developer ແລະ​ ໂປຣ​ໂຕຄອນ​ “javascript:” ຢ່າງໃດ​ກໍ່​ຕາມ​ ລາຍ​ງານ​ພົບ​ວ່າກຸ່ມ​ເປົ້າ​ໝາຍ​ຂອງ​ BackSwap ຍັງ​ຈຳ​ກັດ​ຢູ່ໃນ​ທະ​ນາ​ຄານ​ແຖບ​ໂປແລນ (Poland) ​​ເທົ່າ​ນັ້ນ​ ຊຶ່ງ​ທາງ​ ESET ແຈ້ງ​ຜູ້​ກ່ຽວ​ຂ້ອງ​ເພື່ອ​ແກ້​ໄຂ​ແລ້ວ, ​ ດັ່ງ​ນັ້ນ ​ຕ້ອງ​ເຝົ້າລະວັງ​ສະຖານະການ​ຂອງ​ເຕັກ​ນິກ​ຕົ້ນ​ແບບ​ນີ້​ຕໍ່ໄປ​ ຜູ້ສົ​ນ​ໃຈ​ສາມາດ​ເບິ່ງ​ລາຍ​ງານ​ຂອງ​ ESET ໄດ້​ຕາມລິ້ງລຸ່ມນີ້​.

https://www.welivesecurity.com/2018/05/25/backswap-malware-empty-bank-accounts/

ເອກະສານອ້າງອີງ:

  1. https://www.bleepingcomputer.com/news/security/backswap-banking-trojan-uses-never-before-seen-techniques/
  2. https://www.techtalkthai.com/eset-found-backswap-banking-trojan-come-up-with-novel-techniques/