November 24, 2024

ช่องโหว่ในโปรแกรมป้องกันไวรัส ทำองค์กรโดนล้วงข้อมูลและแอบขุดเงินดิจิทัลนานกว่า 5 ปี

ไม่เชื่อก็ต้องเชื่อ เมื่อแฮกเกอร์ใช้การโจมตี man-in-the-middle attack ซับซ้อนเพื่อใช้ประโยชน์จากช่องโหว่ในโซลูชันแอนตี้ไวรัสเพื่อแพร่กระจายแบ็คดอร์บนเครือข่ายองค์กร แล้วแอบล้วงข้อมูลและขุดเงินดิจิทัลมาราธอนนานมากกว่า 5 ปี

ผู้เชี่ยวชาญด้านความปลอดภัยจาก Avast ได้เผยแพร่รายงานที่ให้รายละเอียดเกี่ยวกับห่วงโซ่การติดไวรัสของแคมเปญมัลแวร์ขุดเงินดิจิทัล GuptiMiner

ในเดือนกรกฎาคม ปี 2023 Avast เปิดเผยแคมเปญ GuptiMiner ที่กำหนดเป้าหมายไปที่ซอฟต์แวร์ป้องกันไวรัส eScan ของอินเดีย โดยมีหลักฐานที่บ่งชี้ว่าแคมเปญดังกล่าวมีการใช้งานและระบาดมาแล้วอย่างน้อย 5 ปี

การโจมตีดังกล่าวใช้ประโยชน์จากช่องโหว่ในกลไกการอัปเดตของซอฟต์แวร์ eScan เพื่อกระจายแบ็คดอร์และแอบใช้ทรัพยากรของเหยื่อในการขุดเงินดิจิทัล

รายงานอธิบายว่าห่วงโซ่การติดไวรัสของ GuptiMiner นั้นมีความซับซ้อนสูง โดยใช้เทคนิคเชิงรุกจำนวนหนึ่ง รวมถึงการส่งคำขอ DNS ไปยังเซิร์ฟเวอร์ DNS ของผู้โจมตี, การโหลด DLL sideloading, แยกเพย์โหลดออกจากไฟล์ภาพที่ดูเหมือนปลอดภัย และล็อกอินเพย์โหลดด้วยการกำหนดสิทธิและใบรับรองที่ดูน่าเชื่อถือ เพื่อหลีกเลี่ยงการตรวจจับ

Avast ได้รายงานการพบช่องโหว่ดังกล่าวแก่บริษํทผู้พัฒนาโปรแกรมป้องกันไวรัส eScan และทีมตอบสนองเหตุฉุกเฉินคอมพิวเตอร์ของอินเดียอย่าง India CERT ในปี 2023 โดยเผยให้เห็นถึงความล้มเหลวของ eScan ในการระบุปัญหาเป็นเวลาอย่างน้อยห้าปี

ตามรายงาน eScan ยืนยันว่าปัญหาได้รับการแก้ไขและแก้ไขได้สำเร็จในวันที่ 31 กรกฎาคม 2023

แต่ Avast กล่าวว่ายังคงพบการแพร่ระบาดของ GuptiMiner อยู่ ซึ่งแสดงให้เห็นว่า มีลูกค้าบางส่วนยังคงใช้เวอร์ชันที่ล้าสมัยและมีช่องโหว่

ที่มา : itpro