โทรจัน Emotet พันธุ์ใหม่! กลับมาหลอนวงการธนาคาร

หลังจำศีลมานาน โทรจันคู่ปรับวงการการเงินการธนาคาร หวนกลับมาโจมตีอีกครั้ง คราวนี้มาพร้อมความสามารถในการพรางตัวผ่าน Spam Filter พร้อมแยกกันโจมตีสองระลอก

Emotet ถูกจัดเป็นโทรจันที่ใช้ช่องทางการกระจายผ่านพวกอีเมลขยะ (Spam) เหยื่อที่ติดกับ Emotet ล้วนมักเผลอเปิดไฟล์แนบที่เป็นมาโครหรือคลิกที่ Link ในเนื้อหาอีเมลโดยรู้เท่าไม่ถึงการณ์ อีเมลที่พบว่ามี Emotet แฝงตัวอยู่มักมีหัวข้อ Subject ที่ชวนให้ผู้อ่านเกิดความอยากรู้อยากเห็น อาทิ เช่น

• ใบแจ้งหนี้ (Invoice)
• รายละเอียดการชำระเงิน (Payment Details)
• แจ้งสถานะพัสดุ (Parcel Delivery Status)

โทรจันสายพันธ์การเงินตัวนี้ถูกพบครั้งแรกในปี 2557 ขณะที่มันดักขโมยข้อมูลธนาคารของเหยื่อทางอินเทอร์เน็ต หลังจากนั้น มันถูกพัฒนาอีกราวสองเวอร์ชั่นก่อนเงียบหายไป
ล่าสุดได้กลับมาแล้ว โดยในเวอร์ชันใหม่นี้สามารถหลุดรอดผ่าน Spam Filter ได้ ทำให้จำนวนของเหยื่อก็เพิ่มขึ้น ซึ่งการป้องกันเบื้องต้นอย่างง่าย ๆ ก็คือ ถ้าไม่แน่ใจ ไม่รู้จักผู้ส่ง ห้ามคลิกไฟล์แนบพวก Microsoft Word เพราะนั่นอาจเป็นไฟล์มาโครที่พอเผลอคลิกแล้ว จะพาไปดาวน์โหลด Emotet เป็นการเปิดประตูต้อนรับโจรเข้าบ้านทันที

นอกจากนี้ Cisco Talos Intelligence Group (ระบบป้องกันภัยไซเบอร์สำหรับผลิตภัณฑ์ของ Cisco พัฒนาโดย บ. Cisco) ได้แชร์พฤติกรรมการโจมตีไว้ใน Blog ว่า เหยื่อมักถูกโจมตีสองระลอกเสมอ ระลอกแรกหลังจากเปิดอ่านอีเมลและคลิกไฟล์แนบ มัลแวร์จะถูกดาวน์โหลดไปยังระบบให้ทำคำสั่งโค้ดที่ฝังอยู่ในไฟล์แนบ และอีกระลอกมาจากที่เหยื่อคลิกที่ URL ในอีเมล ซึ่งแฮกเกอร์ดักไว้อีกทางหนึ่ง

เป็นที่น่าสังเกตว่า Emotet มักไม่ค่อยโจมตีเหยื่อในรัสเซียและไม่พบว่ามีเซิร์ฟเวอร์ที่ควบคุมและสั่งการมัลแวร์ตระกูลนี้ในภูมิภาคนั้นเลย ไม่แน่ แหล่งต้นกำเนิดอาจจะมาจากแถวนั้นก็ได้
Emotet ยังคงพัฒนาตัวมันเองอย่างต่อเนื่อง จุดประสงค์หลักเพื่อขโมยข้อมูลเพื่อผลประโยชน์ทางการเงินเป็นหลัก ดังนั้น ถ้าเราไม่แน่ใจว่าอีเมลนั้นเชื่อถือได้หรือไม่ เช่น ไม่เคยซื้อของที่ไหนแต่มีใบแจ้งหนี้หรือแจ้งสถานะพัสดุส่งมา จงอย่าเปิดอ่าน อย่าคลิกเอกสารแนบหรือ URL เด็ดขาด!

อ้างอิงที่มา:
https://cyware.com/news/banking-trojan-emotet-is-back-in-a-new-form-20fead7d
https://www.malwarebytes.com/emotet/