ทีมนักวิจัยด้านความปลอดภัย Kaspersky leb พบการโจมตีของมัลแวร์ Javali Trojan โดยหลบเลี่ยงการตรวจจับของซอฟต์แวร์ Avira antivirus ซึ่งมัลแวร์ดังกล่าวเริ่มแพร่กระจายตั้งแต่เดือนพฤศจิกายน 2017 และโจมตีต่อเนื่องมาถึงปัจจุบันเน้นไปที่กลุ่มสถาบันการเงินและธนาคารในประเทศต่าง ๆ ทั่วทวีปอเมริกาใต้ ซึ่งจากการวิเคราะห์ของนักวิจัยฯ กล่าวว่ามัลแวร์ Javali มีการทำงานแบบเดียวกันที่มักพบในโทรจันอื่น ๆ เช่น Grandoreiro, URSA aka Mispadu, Lampion, Vadokrist, Amavaldo, Casbaneiro aka Metamorpho และ Mekotio เป็นต้น

ภาพ: Phishing mail ที่มีไฟล์ Javali Trojan

ภาพ: ขั้นตอนการโจมตีของ Javali Trojan

วิธีการโจมตี เริ่มจากการที่ผู้ใช้งานกดดาวน์โหลดไฟล์อันตรายใน Phishing mail เป็นไฟล์ VBS, JScript หรือ MSI  จากนั้นมัลแวร์ จะพัฒนาตัวเองให้เข้าไปสู่หน่วยความจำของคอมพิวเตอร์โดยใช้เทคนิคการ loader DLL หรือ injector DLL สร้างการทำงานโดยใช้ไฟล์ .lnk ในโฟลเดอร์ Windows Startup หรือเพิ่มคีย์ใหม่ในรีจิสทรีของเครื่อง (HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run) พร้อมชื่อและเส้นทางของไฟล์ .lnk เพื่อรับประกันว่ามัลแวร์จะทำงานทุกครั้งที่เครื่องที่ติดไวรัสเริ่มทำงาน หลังจากนั้นมัลแวร์จะได้รับรายละเอียดจากเครื่องที่ติดไวรัสและรายงานไปยัง C2 Server รวมถึงบอกข้อมูลเวอร์ชันของระบบปฏิบัติการ (OS) เมื่อมัลแวร์ควบคุมเครื่องคอมพิวเตอร์ทั้งหมดได้ ก็จะเริ่มโจมตีตั้งแต่เปิดเว็บเบราว์เซอร์ จะทำการตรวจจับการกดแป้นพิมพ์ การใช้เม้าส์จับภาพหน้าจอ ตลอดจนเข้าบล็อคแอปพลิชันบน Windows

ภาพ: ตัวอย่างการจับภาพหน้าจอเว็บไซต์ของกลุ่มสถาบันการเงินและธนาคารจากมัลแวร์ Javali Trojan

วิธีการป้องกัน เริ่มจากการตรวจสอบ Phishing mail ว่าได้รับเป็นอีเมลหลอกลวงหรือไม่และควรมีการตั้งค่า two-factor-authentication บัญชีออนไลน์ต่าง ๆ โดยในส่วนขององค์กรควรมีการอบรมสร้าง IT awareness ให้พนักงานได้ตระหนักถึงภัยคุกคามในรูปแบบต่าง ๆ และการมีระบบรักษาความปลอดภัยไอทีที่ครอบคลุม ก็จะช่วยลดความเสี่ยงในการถูกโจมตีได้

ที่มา : https://securityaffairs.co/wordpress/114667/malware/javali-trojan.html