เริ่มพัฒนา!!! พบ Ransomware-as-a-Service มีการพัฒนามากขึ้น

ก่อนหน้านี้เราเคยพูดถึง Ransomware-as-a-Service (RaaS) หรือ Malware-as-a-Service(Maas) กันไปแล้ว ซึ่งเมื่อการมาของ WannaCry หรือ NotPetya มาถึง แน่นอนว่าในฐานะผู้ขายก็จำเป็นต้องพัฒนาให้ทันโลกเช่นกัน จึงเป็นที่มาของ Malware ที่เริ่มทำการเข้ารหัสและตรวจจับด้วย Antivirus ได้ยากมากขึ้น

แม้ว่า Malware-as-a-Service นั้นจะยังไม่สามารถไปถึงขั้น WannaCry หรือ NotPetya ได้ แต่ก็มีการพัฒนาอย่างต่อเนื่องเช่นกัน โดยล่าสุด Proofpoint และ Netskope Threat Research Labs ได้สำรวจ service การทำ Malware-as-a-Service ใน Darkweb ในช่วงเร็วๆนี้พบว่ามี Service ที่น่าสนใจอยู่ 2 ตัวด้วยกัน

1. Ovidiy Stealer

ที่ Ovidiy Stealer นั้นน่าสนใจเพราะราคาที่ถูกมากคือเริ่มต้นที่ 7$ (238 บาท) เท่านั้น

โดย malware ตัวนี้จะเน้นโจมตีที่ web browser เป็นหลัก, Ovidiy Stealer มีหลาย version ด้วยกันทั้งใน United Kingdom, Netherlands, India, และ Russia

ตัว malware จะถูก Crypter ในการเข้ารหัสและถอดรหัสก่อนการรัน ทำให้ตรวจจับได้ยาก แต่ก็มีบาง Antivirus สามารถตรวจจับได้จากพฤติกรรมของมันเช่นกัน

ตัว Malware ถูกเขียนด้วย .NET และสามารถขโมย credential ได้ทั้งใน Application และ Browser ต่างๆเช่น Google Chrome, Opera, FileZilla, Amigo, Kometa, Torch, และ Orbitum, แต่ผู้ซื้อสามารถซื้อ version ที่ทำงานในการขโมย credential จาก browser ใด browser หนึ่งเท่านั้น หากต้องการจะขโมยของ browser อื่นก็ต้องซื้ออีก version แทน

Malware กระจายตัวผ่าน malicious email attachments, malicious links เพื่อให้ทำการ download fake software หรือเครื่องมือใดๆ

ตัว Ovidiy Stealer นั้นไม่ advance อะไรมาก ไม่มีการฝังแบบ persistent แต่อย่างใด

2. Hackshit

ตัวนี้เป็นอีกตัวหนึ่งที่น่าสนใจ แต่เปลี่ยนจาก Ransomware-as-a-Service ที่เริ่มมีมากขึ้นทุกทีก็กลายเป็น Phishing-as-a-Service (PhaaS) ที่มีการ automate ในขั้นตอนต่างๆ และง่ายในการใช้งาน สุดท้ายคือมีให้ลองก่อนด้วย

ตัวเครื่องมือจะกระทำให้หมดทั้งในเรื่องการสร้าง phishing page และการส่งเมล์ไปหาเหยื่อ โดย phishing page ที่ถูกสร้างนั้นสามารถ clone จาก web ได้หลากหลายมาก รวมถึง Yahoo, Facebook และ Gmail ด้วย

Researcher บอกว่า phishing page จะใช้ URI Scheme เป็น base64 encode และใช้ domain เป็น .moe รวมถึงการใช้ HTTPS ของ Let’s Encrypt เพื่อหลบเลี่ยงการตรวจจับของ Scanner ต่างๆ

Source:: TheHackerNews

เริ่มพัฒนา!!! พบ Malware-as-a-Service มีการพัฒนามากขึ้น

1. Ovidiy Stealer

2. Hackshit

techsuii-admin

Leave a Reply Cancel reply

Security References

LINE@Techsuii.com

Facebook

Recent Posts

Recent Comments

Archives

Categories

Meta

Creative Common

Facebook

Latest News

Cyber Security and Privacy Foundation ออก course สอนการเขียน code อย่างไรให้ปลอดภัย

Alien Vault ออกเอกสารการคอย monitor security ให้กับ AWS

VDO: OWASP AppSecUSA 2018

VDO: Malware Analysis จาก University of Cincinnati Computer Science department.

StatCounter ถูกแฮ็คเพื่อใช้โจมตี Cryptocurrency Exchange

เริ่มพัฒนา!!! พบ Malware-as-a-Service มีการพัฒนามากขึ้น

1. Ovidiy Stealer

2. Hackshit

Link หนังสือ AWK

พบวิธีการ bypass Kaspersky Antivirus ใน ATM ได้ง่ายๆด้วยไฟล์ malware ขนาดใหญ่ๆ

You May also Like

Leave a Reply Cancel reply

Security References

LINE@Techsuii.com

Facebook

Recent Posts

Recent Comments

Archives

Categories

Meta