XLoader โจมตีผ่าน ZIP Archives! วิธีตรวจจับและป้องกันมัลแวร์ตัวร้ายนี้
แฮ็กเกอร์ใช้ Eclipse Jarsigner เพื่อกระจาย XLoader Malware ผ่าน ZIP Archives
เมื่อเร็ว ๆ นี้ นักวิจัยด้านความปลอดภัยทางไซเบอร์ ค้นพบแคมเปญมัลแวร์ใหม่ที่ใช้เครื่องมือ Eclipse Jarsigner เพื่อกระจายมัลแวร์ XLoader ผ่านไฟล์ ZIP ที่ถูกบีบอัด ผู้โจมตีใช้เทคนิค DLL Side-Loading เพื่อหลบเลี่ยงการตรวจจับ ทำให้สามารถแทรกซึมเข้าสู่ระบบของเหยื่อและขโมยข้อมูลสำคัญได้
การโจมตีนี้สร้างความกังวลให้กับผู้เชี่ยวชาญด้านความปลอดภัย เนื่องจาก XLoader เป็นหนึ่งในมัลแวร์ประเภท Remote Access Trojan (RAT) ที่ได้รับการพัฒนาอย่างต่อเนื่อง และสามารถทำงานได้ทั้งบน Windows และ macOS
Eclipse Jarsigner คืออะไร และทำไมถึงถูกใช้ในการโจมตี?
Eclipse Jarsigner เป็นเครื่องมือที่พัฒนาโดย Eclipse Foundation ซึ่งถูกออกแบบมาเพื่อใช้ในการลงนามไฟล์ JAR บนแพลตฟอร์ม Java อย่างถูกต้องตามกฎหมาย อย่างไรก็ตาม แฮ็กเกอร์ได้ใช้เครื่องมือนี้เป็น ช่องทางในการโจมตี โดยฝังไฟล์มัลแวร์เข้าไปในไฟล์ ZIP ที่ดูเหมือนไม่เป็นอันตราย
เมื่อล่อให้เหยื่อเปิดไฟล์ ZIP ที่ถูกบีบอัด มัลแวร์ XLoader จะถูกดาวน์โหลดและติดตั้งลงในอุปกรณ์โดยอัตโนมัติ กระบวนการนี้ช่วยให้แฮ็กเกอร์สามารถเข้าถึงข้อมูลสำคัญและส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ควบคุมได้
กระบวนการโจมตีของ XLoader ผ่าน Eclipse Jarsigner
- ไฟล์ ZIP ที่มีมัลแวร์ถูกส่งผ่านอีเมลหรือเว็บไซต์ที่ไม่น่าเชื่อถือ – เหยื่อมักได้รับไฟล์ ZIP ที่ดูเหมือนไม่เป็นอันตราย ผ่านทางอีเมลปลอมที่แอบอ้างเป็นเอกสารสำคัญ
- การเรียกใช้ไฟล์ Jarsigner ที่ถูกปลอมแปลง – เมื่อเหยื่อเปิดไฟล์ ZIP และเรียกใช้ไฟล์ jarsigner.exe ที่ถูกเปลี่ยนชื่อ ไฟล์ jli.dll ที่ถูกฝังไว้จะถูกโหลดขึ้นมา
- โหลดและติดตั้งมัลแวร์ XLoader – โค้ดของมัลแวร์ถูกถอดรหัสและฉีดเข้าสู่กระบวนการของระบบ เช่น aspnet_wp.exe ทำให้มัลแวร์เริ่มทำงาน
- แฮ็กเกอร์สามารถควบคุมอุปกรณ์จากระยะไกล – XLoader สามารถขโมยข้อมูล, บันทึกการกดแป้นพิมพ์, และดาวน์โหลดมัลแวร์เพิ่มเติมเข้าสู่เครื่องที่ติดเชื้อ
XLoader คืออะไร และมีอันตรายอย่างไร?
XLoader เป็นมัลแวร์ประเภท Remote Access Trojan (RAT) ที่พัฒนามาจากมัลแวร์ Formbook ซึ่งถูกพบครั้งแรกในปี 2020 โดยสามารถขโมยข้อมูลส่วนตัวของผู้ใช้ เช่น รหัสผ่าน ข้อมูลเบราว์เซอร์ และข้อมูลระบบ
XLoader เคยถูกพบว่าถูกใช้ใน Windows และในปี 2023 นักวิจัยพบว่าเวอร์ชันสำหรับ macOS ได้รับการพัฒนาเพิ่มเติมโดยปลอมตัวเป็นแอปพลิเคชันของ Microsoft Office
ความสามารถของ XLoader
- ขโมยข้อมูลล็อกอินและรหัสผ่าน – มัลแวร์สามารถดึงข้อมูลจากเบราว์เซอร์และโปรแกรมที่บันทึกรหัสผ่านไว้
- บันทึกการกดแป้นพิมพ์ (Keylogging) – สามารถจับการพิมพ์ข้อความของเหยื่อ รวมถึงรหัสผ่านที่พิมพ์ลงในเว็บต่าง ๆ
- ดาวน์โหลดและรันมัลแวร์เพิ่มเติม – สามารถติดตั้งมัลแวร์อื่น ๆ เพื่อเพิ่มความสามารถในการโจมตี
เทคนิคการหลบเลี่ยงการตรวจจับของ XLoader
แฮ็กเกอร์ที่ใช้ XLoader มีการพัฒนาวิธีการเพื่อหลบเลี่ยงการตรวจจับโดย Antivirus และ Endpoint Protection ซึ่งรวมถึง
- การเข้ารหัสโค้ดบางส่วนเพื่อซ่อนการทำงานของมัลแวร์
- การใช้เทคนิค DLL Side-Loading เพื่อให้ดูเหมือนเป็นโปรแกรมที่ถูกต้อง
- การสร้างทราฟฟิกเครือข่ายที่เลียนแบบทราฟฟิกปกติ เพื่อลดโอกาสในการถูกบล็อก
ด้วยเทคนิคเหล่านี้ XLoader สามารถแฝงตัวอยู่ในระบบของเหยื่อได้เป็นเวลานานโดยไม่ถูกตรวจพบ
วิธีป้องกันการโจมตีจาก XLoader และมัลแวร์ที่ใช้ Eclipse Jarsigner
- อย่าเปิดไฟล์ ZIP หรือไฟล์แนบจากอีเมลที่ไม่น่าเชื่อถือ – ผู้โจมตีมักใช้ Social Engineering เพื่อหลอกให้เหยื่อเปิดไฟล์ที่มีมัลแวร์
- อัปเดตซอฟต์แวร์และระบบปฏิบัติการเป็นเวอร์ชันล่าสุด – เพื่อปิดช่องโหว่ที่อาจถูกใช้โจมตี
- ใช้โปรแกรมป้องกันมัลแวร์ที่สามารถตรวจจับพฤติกรรมของไฟล์อันตราย – และตรวจสอบว่ามีการทำงานของ Jarsigner ที่ผิดปกติหรือไม่
- ตั้งค่าความปลอดภัยของระบบให้สูงขึ้น – เช่น เปิดใช้งานไฟร์วอลล์และตั้งค่าการเข้าถึงไฟล์ที่เข้มงวด
คุณคิดอย่างไรเกี่ยวกับการโจมตีนี้?
- คุณเคยเจออีเมลหรือไฟล์แนบที่น่าสงสัยมาก่อนหรือไม่?
- คุณคิดว่าบริษัทซอฟต์แวร์ควรมีมาตรการอะไรเพิ่มเติมเพื่อป้องกันการโจมตีประเภทนี้?
- แชร์บทความนี้เพื่อให้เพื่อนและคนรอบตัวคุณได้รับรู้ถึงอันตรายของมัลแวร์ XLoader และวิธีป้องกัน
สรุป
การโจมตีโดยใช้ Eclipse Jarsigner เพื่อแพร่กระจายมัลแวร์ XLoader แสดงให้เห็นถึงความซับซ้อนและความคิดสร้างสรรค์ของผู้โจมตี การใช้เครื่องมือที่ถูกต้องตามกฎหมายร่วมกับเทคนิค DLL Side-Loading ทำให้การตรวจจับยากขึ้น ดังนั้น ผู้ใช้ควรเพิ่มความระมัดระวังและปฏิบัติตามแนวทางการป้องกันที่แนะนำเพื่อรักษาความปลอดภัยของระบบ
คุณมีความคิดเห็นหรือประสบการณ์เกี่ยวกับมัลแวร์ XLoader หรือการโจมตีในลักษณะนี้หรือไม่? แบ่งปันความคิดเห็นของคุณในช่องแสดงความคิดเห็นด้านล่าง และอย่าลืมแชร์บทความนี้เพื่อให้เพื่อน ๆ ของคุณได้รับข้อมูลที่สำคัญนี้!
Loading...
Post ID: 25004 | TTT-WEBSITE | AFRA APACHE
