ฟีเจอร์แฝงที่ไม่ได้ถูกเปิดเผย: ช่องโหว่ของซอฟต์แวร์ไฟล์เอกสารยอดนิยมที่ผู้ร้ายไซเบอร์ใช้เหวี่ยงแหหาเหยื่อ

ผู้ที่มีความชำนาญของแคสเปอร์สกี้ แลป ศึกษาค้นพบฟีพบร์ในโปรแกรมคอมพิวเตอร์สร้างเอกสารที่ได้รับความนิยม ถูกใช้โดยมิจฉาชีพเป็นหนทางจู่โจมแบบมีเป้าหมาย โดยใช้แอพพลิเคชั่นร้ายที่จะเริ่มการทำงานเมื่อเอกสารสถานที่ทำงานปกติถูกเปิดขึ้น หลังจากนั้นเนื้อหาเกี่ยวกับโปรแกรมคอมพิวเตอร์ที่มีติดตั้งอยู่บนเครื่องของเหยื่อจะถูกส่งต่อไปยังมิจฉาชีพอัตโนมัติ พวกมิจฉาชีพก็เลยรู้เรื่องเครื่องของเหยื่อเยอะขึ้น และก็สามารถเลือกใช้ exploit ที่เหมาะสมจะเจาะตรงเป้าหมายอย่างเห็นผล

มัลแวร์กลุ่มนี้มีวิธีการการจู่โจมได้อีกทั้งบนเดสก์ทอปและก็เครื่องโมบาย ไม่ว่าไฟล์เอกสารปกตินั้นจะเปิดขึ้นมาบนวัสดุอุปกรณ์จำพวกใดก็ตาม แคสเปอร์สกี้ แลปพิจารณาพบว่าแบบอย่างการทอดแหหาโปรไฟล์ของเหยื่อด้วยแนวทางแบบนี้ ตัวแอคเตอร์โจรกรรมไซเบอร์ พื้นที่แคสเปอร์สกี้ แลปเรียกว่า FreakyShelly เป็นตัวที่ใช้ขั้นตอนการนี้ รวมทั้งได้แจ้งเตือนไปยังโปรแกรมคอมพิวเตอร์เวนเดอร์แล้ว แต่ว่ายังไม่ได้กระทำปรับปรุงช่องโหว่พวกนั้นให้เป็นที่เป็นระเบียบอะไร

ผู้ที่มีความชำนาญของแคสเปอร์สกี้ แลปเคยตรวจหาการส่งอีเมลแบบสเปียร์ฟิชชิ่งที่มีเอกสารในฟอร์แมท OLE2 ในตอนที่กำลังทำสอบสวนการจู่โจมแบบมีเป้าหมาย FreakyShelly อยู่ (ฟอร์แมทแบบงี้ใช้เทคโนโลยี Object Linking และก็ Embedding ที่ช่วยบรรดาแอพทั้งหลายแหล่สำหรับการสร้าง compound documents ที่ด้านในมีข้อมูลที่ได้มาจากแหล่งที่ไม่เหมือนกัน รวมถึงที่มาจากอินเตอร์เน็ตด้วย) จากการดูโดยประมาณพบว่าตัวไฟล์นั้นไม่ได้มองน่าสงสัยไหมน่าไว้วางใจอะไร เป็นไฟล์ที่มีเซ็ตข้อแนะนำวิธีการใช้กูเกิ้ลเสิร์ชเอ็นจิ้นให้ได้ประโยชน์สูงสุดที่มองมีประโยชน์ดีอยู่ แต่ว่าไฟล์กลับซ่อนเร้น exploits หรือแมคโครไม่ดีที่ไม่มีชื่อเสียงอยู่ด้วย และก็เมื่อเล่าเรียนการกระทำของไฟล์เอกสารแบบนี้พบว่า เมื่อเปิดไฟล์เอกสาร จะกระทำส่ง GET รีเควสต์เฉพาะ ไปพบเว็บเพจที่อยู่ข้างนอกหน่วยงาน ซึ่งเป็น GET รีเควสต์ที่มีเนื้อหาสาระเกี่ยวกับบราวเซอร์ รวมทั้งเวอร์ชั่นของระบบปฏิบัติการ ข้อมูลโปรแกรมคอมพิวเตอร์ที่อยู่บนเครื่องหรืออปุมือณ์ที่เปิดไฟล์เอกสารนั้นที่ได้กลายเป็นเหยื่อไปแล้ว ปัญหาของคุณก็คือเว็บเพจที่เอกสารได้ส่งรีเควสต์ไปนั้นไม่ใช่ที่ที่จะจำต้องส่งรีเควสต์ไปเสียหน่อย

การศึกษาทำการค้นคว้าและทำการวิจัยเพิ่มของแคสเปอร์สกี้ แลปพบว่ามูลเหตุที่การคุกคามแบบนี้เห็นผล เพราะเหตุว่าขั้นตอนการประมวลผลข้อมูลเคล็ดวิธีอลของส่วนประกอบที่อยู่ในไฟล์รวมทั้งการเก็บข้อมูลนั่นเอง ไฟล์เอกสารแต่ละไฟล์จะมีเมตาดาต้าเฉพาะบุคคล ดังเช่นว่า สไตล์, เท็กซ์โลเคชั่นแล้วก็ต้นทาง, รูปภาพประกอบในเอกสาร (ถ้าหากมี) มาจากที่ไหน และก็พารามิเตอร์โอบล้อมอื่นๆฯลฯ เมื่อเปิดไฟล์ขึ้น สถานที่ทำงานแอพพลิเคชั่นจะอ่านค่ากลุ่มนี้ แล้วหลังจากนั้นสร้างแบบแปลน หรือ “map” โดยอิงค่าพารามิเตอร์กลุ่มนี้ อาทิเช่น ค่าที่ชี้ไปยังโลเคชั่นของภาพในไฟล์เอกสาร ซึ่งเป็นหนทางที่มิจฉาชีพไซเบอร์จะแปลงรหัสแล้วก็ส่งรายงานกลับไปยังเว็บเพจของผู้กระทำการนั่นเอง

“ถึงแม้ว่าฟีพบร์ที่ถูกศึกษาและทำการค้นพบนี้จะไม่ใช่ตัวเริ่มจู่โจมของมัลแวร์ แม้กระนั้นก็ทำให้เป็นอันตรายมากมาย เนื่องจากเป็นตัวที่ส่งเสริมการคุกคามโดยที่ยูสเซอร์ผู้ครอบครองเครื่องไม่ต้องกดปุ่มหรือทำอะไรเลย แถมยังแพร่สู่คนกลุ่มมากมายได้ทั้งโลกด้วยตอนช่วงเวลาอันสั้น เนื่องจากว่าโปรแกรมคอมพิวเตอร์เอกสารที่ว่านี้ได้รับความนิยมใช้กันทั่วๆไปนั่นเอง ยังดีที่ในเดี๋ยวนี้พวกเราพบว่ามีการใช้ฟีพบร์นี้เพียงแต่ครั้งเดียว แต่ว่าน่าไม่สบายใจมากมายด้วยเหตุว่าฟีพบร์นี้ตรวจหาได้ยาก ก็เลยเพียงพอเดาได้ว่าพวกมิจฉาชีพไซเบอร์คงจะจ้องมองหาทางใช้แนวทางนี้อยู่ในอนาคตอันใกล้แน่ๆ” อเล็กซานเดอร์ ลิสคิน ผู้จัดการกรุ๊ป Heuristic Detection Group แคสเปอร์สกี้ แลป กล่าว

สินค้าของแคสเปอร์สกี้ แลปตรวจแล้วก็บล็อกกันการคุกคามได้ด้วยการใช้วิธีตั้งแต่นี้ต่อไป แล้วก็เพื่อช่วยลดอัตราการตกเป็นเหยื่อของฟีพบร์ดังกล่าว ต่อแต่นี้ไปเป็นข้อแนะนำของผู้ที่มีความเชี่ยวชาญจากแคสเปอร์สกี้ แลป:
• หลบหลีกการเปิดอีเมลที่ส่งมาจากแอดเดรสที่ไม่รู้เคยชิน รวมทั้งเลี่ยงการเปิดเอกสารที่แนบมาพร้อมกับอีเมลนั้นๆ;
• จัดตั้งใช้โซลูชั่นเพื่อให้มีความปลอดภัยที่ไว้เนื้อเชื่อใจได้ มีความมีประสิทธิภาพ สามารถจะตรวจค้นการคุกคามดัโลภล่าวได้ เป็นต้นว่า โซลูชั่นจากแคสเปอร์สกี้ แลป

ที่มาของเนื้อหา : www.matichon.co.th

Facebook Comments

Leave a Reply

Scroll to top