มัลแวร์ TrickBot ทำงานบน RAM ตรวจจับได้ยากขึ้น

จากเหตุการณ์แพร่ระบาดของไวรัส COVID-19 ตั้งแต่ต้นปี 2020 จนถึง ณ ปัจจุบันนี้ มีข่าวการโจมตีแอบอ้างสถานการณ์ดังกล่าว โดยใช้มัลแวร์ชื่อว่า TrickBot ในรูปแบบ email phishing ซึ่ง TrickBot ได้เริ่มตรวจพบโดยผู้เชี่ยวชาญด้าน Security ของ Microsoft Unit 42 ตั้งแต่ปี 2016 ซึ่งในอดีตมัลแวร์นี้มีหน้าที่โจมตีเพียง banking Trojan แต่ได้รับการพัฒนาเรื่อย ๆ จนสามารถทำงานกับ malware ตัวอื่น ๆ ได้ เช่น Emotet จากข่าวเมื่อปี 2019 พบโทรจัน Emotet พันธุ์ใหม่! กลับมาหลอนวงการธนาคาร อีกทั้งยังสามารถช่วยทำการติดตั้ง ransomware อย่าง Ryuk ได้ด้วย ดังเช่นข่าว พบโรงพยาบาลตกเป็นเป้าโจมตีด้วย Ransomeware เพิ่มขึ้น

ล่าสุดผู้เชี่ยวชาญด้าน Security Unit 42 ได้ค้นพบ TrickBot ใหม่ ที่สามารถอัปเดตโมดูลที่ตัว malware เพื่อใช้แพร่กระจายจากเครื่อง Microsoft Windows ไปยังเครื่อง domain controller ซึ่งโมดูลก่อนหน้านี้เรียกว่า mworm แต่ถูกแทนที่ด้วยโมดูลที่เรียกว่า nworm โดยจะทำงานอยู่บน domain controller memory แทนการทำงานบน HDD ทำให้ TrickBot หายไปเมื่อเครื่องทำการ rebooted หรือ shutdown ได้และยังทำให้ไม่ทิ้งร่องรอยของโค้ดอันตรายต่าง ๆ บนเครื่อง domain controller เป้าหมายอีกด้วย จึงเป็นการยากที่เครื่องมือ security ต่าง ๆ จะตรวจจับและวิเคราะห์ เพราะโมดูลนี้ทำการเข้ารหัสเพื่อช่วยป้องกัน malware จากเครื่องมือ security อย่างไรก็ตาม ผู้เชี่ยวชาญจะติดตามการพัฒนาการของมัลแวร์ TrickBot ตัวนี้ต่อไป เพื่อหาวิธีหยุดการโจมตีของมัลแวร์ โดยหวังว่าจะไม่ให้เกิดขึ้นอีก

ที่มา: https://www.databreachtoday.com/trickbot-update-makes-malware-harder-to-detect-report-a-14363