แรนซัมแวร์ใหม่ใช้ประโยชน์จากข้อความ SMS แบบธรรมดาบนระบบปฏิบัติการ Android ของ Google และแพร่กระจายไปยังผู้ติดต่อที่จัดเก็บไว้อย่างก้าวร้าวโดยใช้รูปภาพของเหยื่อ - k2rx.com

Android / แรนซัมแวร์ใหม่ใช้ประโยชน์จากข้อความ SMS ธรรมดาบน Google Android OS จากนั้นแพร่กระจายอย่างรุนแรงไปยังผู้ติดต่อที่จัดเก็บไว้โดยใช้รูปภาพของเหยื่อ อ่าน 6 นาที

Google Android

ransomware ใหม่สำหรับอุปกรณ์มือถือได้ปรากฏขึ้นทางออนไลน์ ไวรัสดิจิทัลที่กลายพันธุ์และกำลังพัฒนากำหนดเป้าหมายสมาร์ทโฟนที่ใช้ระบบปฏิบัติการ Android ของ Google มัลแวร์พยายามที่จะเข้าถึงผ่านข้อความ SMS ที่เรียบง่าย แต่ปลอมตัวมาอย่างชาญฉลาดจากนั้นจะขุดลึกลงไปในระบบภายในของโทรศัพท์มือถือ นอกจากจับตัวประกันที่สำคัญและอ่อนไหวแล้วหนอนตัวใหม่ยังพยายามแพร่กระจายไปยังเหยื่อรายอื่น ๆ ผ่านทางแพลตฟอร์มการสื่อสารของสมาร์ทโฟนที่ถูกบุกรุก แรนซัมแวร์ตระกูลใหม่ถือเป็นก้าวสำคัญ แต่เกี่ยวข้องกับระบบปฏิบัติการ Android ของ Google ซึ่งถือว่าค่อนข้างปลอดภัยมากขึ้นจากการโจมตีทางไซเบอร์ตามเป้าหมาย

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ที่ทำงานให้กับโปรแกรมป้องกันไวรัสไฟร์วอลล์และนักพัฒนาเครื่องมือป้องกันดิจิทัลอื่น ๆ ที่ได้รับความนิยม ESET ค้นพบแรนซัมแวร์ตระกูลใหม่ที่ออกแบบมาเพื่อโจมตีระบบปฏิบัติการมือถือ Android ของ Google นักวิจัยตั้งข้อสังเกตว่าม้าโทรจันดิจิทัลใช้การส่งข้อความ SMS เพื่อแพร่กระจาย นักวิจัยของ ESET ได้ขนานนามมัลแวร์ตัวใหม่นี้ว่า Android / Filecoder.C และได้สังเกตเห็นกิจกรรมที่เพิ่มขึ้นเช่นเดียวกัน อนึ่งแรนซั่มแวร์ดูเหมือนจะค่อนข้างใหม่ แต่ก็ช่วยให้การตรวจจับมัลแวร์ Android ใหม่ลดลงถึงสองปี พูดง่ายๆก็คือดูเหมือนว่าแฮกเกอร์จะให้ความสนใจในการกำหนดเป้าหมายระบบปฏิบัติการสมาร์ทโฟนอีกครั้ง เพียงแค่วันนี้เรารายงานเกี่ยวกับหลาย ช่องโหว่ด้านความปลอดภัย“ Zero Interaction” ที่ถูกค้นพบภายในระบบปฏิบัติการ Apple iPhone iOS .

Filecoder ใช้งานตั้งแต่เดือนกรกฎาคม 2019 แต่แพร่กระจายอย่างรวดเร็วและก้าวร้าวผ่านวิศวกรรมสังคมที่ชาญฉลาด

ตามที่ บริษัท ป้องกันไวรัสและความปลอดภัยทางไซเบอร์ของสโลวาเกียระบุว่า Filecoder ได้รับการสังเกตอย่างแพร่หลายเมื่อไม่นานมานี้ นักวิจัยของ ESET อ้างว่าพวกเขาสังเกตเห็น ransomware แพร่กระจายอย่างแข็งขันตั้งแต่วันที่ 12 กรกฎาคม 2019 พูดง่ายๆก็คือมัลแวร์ดูเหมือนจะปรากฏตัวน้อยกว่าหนึ่งเดือนที่ผ่านมา แต่ผลกระทบอาจเพิ่มขึ้นทุกวัน

ไวรัสนี้น่าสนใจเป็นอย่างยิ่งเนื่องจากการโจมตีระบบปฏิบัติการ Android ของ Google ได้ลดลงอย่างต่อเนื่องเป็นเวลาประมาณสองปี สิ่งนี้ทำให้เกิดการรับรู้โดยทั่วไปว่า Android ส่วนใหญ่มีภูมิคุ้มกันต่อไวรัสหรือว่าแฮกเกอร์ไม่ได้ติดตามสมาร์ทโฟนโดยเฉพาะและมุ่งเป้าไปที่คอมพิวเตอร์เดสก์ท็อปหรือฮาร์ดแวร์และอุปกรณ์อิเล็กทรอนิกส์อื่น ๆ แทน สมาร์ทโฟนเป็นอุปกรณ์ส่วนบุคคลดังนั้นจึงถือได้ว่าเป็นเป้าหมายที่มีศักยภาพ จำกัด เมื่อเทียบกับอุปกรณ์ที่ใช้ใน บริษัท และองค์กร การกำหนดเป้าหมายพีซีหรืออุปกรณ์อิเล็กทรอนิกส์ในการตั้งค่าขนาดใหญ่ดังกล่าวมีประโยชน์หลายประการเนื่องจากเครื่องที่ถูกบุกรุกสามารถนำเสนอวิธีที่รวดเร็วในการบุกรุกอุปกรณ์อื่น ๆ จากนั้นจึงเป็นเรื่องของการวิเคราะห์ข้อมูลเพื่อเลือกข้อมูลที่ละเอียดอ่อน บังเอิญมีกลุ่มแฮ็กหลายกลุ่ม มุ่งเน้นไปที่การโจมตีจารกรรมขนาดใหญ่ .

การแจ้งเตือนความปลอดภัย: สายพันธุ์ FileCoder ของ Android Ransomware โผล่ขึ้นมา: Ransomware สายพันธุ์ใหม่เกิดขึ้นบน Android #mobile อุปกรณ์ กำหนดเป้าหมายผู้ที่ใช้ระบบปฏิบัติการ Android 5.1 ขึ้นไป ransomware สายพันธุ์ Android นี้ได้รับการขนานนามโดย ... https://t.co/edFpo45qbp pic.twitter.com/9r39kxS5iB
- โซลูชั่น Aquia (@AquiaSolutions) 30 กรกฎาคม 2019

ในทางกลับกันแรนซั่มแวร์ตัวใหม่เพียงพยายาม จำกัด ไม่ให้เจ้าของสมาร์ทโฟน Android เข้าถึงข้อมูลส่วนบุคคล ไม่มีข้อบ่งชี้ว่ามัลแวร์พยายามรั่วไหลหรือขโมยข้อมูลส่วนบุคคลหรือข้อมูลที่ละเอียดอ่อนหรือติดตั้งเพย์โหลดอื่น ๆ เช่นคีย์ล็อกเกอร์หรือตัวติดตามกิจกรรมเพื่อพยายามเข้าถึงข้อมูลทางการเงิน

Filecoder Ransomware แพร่กระจายบนระบบปฏิบัติการ Google Android อย่างไร

นักวิจัยค้นพบว่า Filecoder ransomware แพร่กระจายผ่านระบบส่งข้อความหรือระบบ SMS ของ Android แต่จุดเริ่มต้นอยู่ที่อื่น ดูเหมือนว่าไวรัสจะเปิดตัวผ่านโพสต์ที่เป็นอันตรายในฟอรัมออนไลน์รวมถึง Reddit และกระดานส่งข้อความของนักพัฒนาซอฟต์แวร์ Android XDA Developers หลังจาก ESET ชี้ให้เห็นโพสต์ที่เป็นอันตราย XDA Developers ได้ดำเนินการอย่างรวดเร็วและกำจัดสื่อที่น่าสงสัย แต่เนื้อหาที่น่าสงสัยยังคงอยู่ในขณะที่เผยแพร่บน Reddit

โพสต์และความคิดเห็นที่เป็นอันตรายส่วนใหญ่ที่พบโดย ESET พยายามหลอกล่อเหยื่อให้ดาวน์โหลดมัลแวร์ ไวรัสดึงดูดเหยื่อโดยการเลียนแบบเนื้อหาที่มักเกี่ยวข้องกับสื่อลามกอนาจาร ในบางกรณีนักวิจัยยังสังเกตเห็นหัวข้อทางเทคนิคบางอย่างที่ใช้เป็นเหยื่อล่อ ในกรณีส่วนใหญ่ผู้โจมตีจะรวมลิงก์หรือรหัส QR ที่ชี้ไปยังแอปที่เป็นอันตราย

เพื่อหลีกเลี่ยงการตรวจจับในทันทีก่อนที่จะเข้าถึงลิงก์ของมัลแวร์จะถูกปิดบังเป็นลิงก์ bit.ly ในอดีตมีการใช้ไซต์ย่อลิงค์หลายแห่งเพื่อนำผู้ใช้อินเทอร์เน็ตที่ไม่สงสัยไปยังเว็บไซต์ที่เป็นอันตรายทำการฟิชชิงและการโจมตีทางไซเบอร์อื่น ๆ

แฮกเกอร์แพร่กระจาย Android Ransomware ผ่าน SMS ไปยังผู้ติดต่อของคุณและเข้ารหัสไฟล์อุปกรณ์ของคุณ: Android Ransomware ตระกูลใหม่ที่มีชื่อว่า Android / Filecoder.C เผยแพร่ฟอรัมออนไลน์ต่างๆและใช้รายชื่อผู้ติดต่อของเหยื่อเป็น SMS พร้อมกับ ... https://t.co/ddqwtfswl5 pic.twitter.com/6PJjmNyZKB
- ชาห์ชีค (@shah_sheikh) 30 กรกฎาคม 2019
windows 10 ไม่รู้จัก iphone

เมื่อ Filecoder ransomware ได้ติดตั้งตัวเองอย่างแน่นหนาภายในอุปกรณ์เคลื่อนที่ Android ของเหยื่อแล้วมันจะไม่เริ่มล็อคข้อมูลของผู้ใช้ในทันที แต่มัลแวร์จะโจมตีผู้ติดต่อของระบบ Android ก่อน นักวิจัยสังเกตเห็นพฤติกรรมที่น่าสนใจ แต่ก้าวร้าวของ Filecoder ransomware โดยพื้นฐานแล้วมัลแวร์จะแพร่กระจายอย่างรวดเร็ว แต่ละเอียดถี่ถ้วนผ่านรายชื่อผู้ติดต่อของเหยื่อเพื่อแพร่กระจายตัวเอง

มัลแวร์พยายามส่งข้อความตัวอักษรที่สร้างขึ้นโดยอัตโนมัติอย่างระมัดระวังไปยังทุกรายการภายในรายชื่อผู้ติดต่อของอุปกรณ์เคลื่อนที่ Android เพื่อเพิ่มโอกาสของผู้ที่อาจตกเป็นเหยื่อคลิกและดาวน์โหลด ransomware ไวรัส Filecoder ใช้เคล็ดลับที่น่าสนใจ ลิงก์ที่อยู่ในข้อความที่แปดเปื้อนถูกโฆษณาเป็นแอป ที่สำคัญกว่านั้นมัลแวร์ช่วยให้แน่ใจว่าข้อความมีรูปโปรไฟล์ของเหยื่อที่อาจเกิดขึ้น ยิ่งไปกว่านั้นภาพถ่ายถูกจัดวางอย่างระมัดระวังเพื่อให้พอดีกับแอพที่เหยื่อใช้อยู่แล้ว ในความเป็นจริงมันเป็นแอปปลอมที่เป็นอันตรายซึ่งมีแรนซั่มแวร์อยู่

youtube เล่นอัตโนมัติไม่ทำงาน chrome

สิ่งที่น่ากังวลยิ่งกว่านั้นก็คือการที่ Filecoder ransomware ถูกเข้ารหัสเป็นหลายภาษา กล่าวอีกนัยหนึ่งขึ้นอยู่กับการตั้งค่าภาษาของอุปกรณ์ที่ติดไวรัสสามารถส่งข้อความในเวอร์ชันภาษาใดภาษาหนึ่งจาก 42 ภาษาที่เป็นไปได้ นอกจากนี้มัลแวร์ยังแทรกชื่อผู้ติดต่อไว้ในข้อความโดยอัตโนมัติเพื่อเพิ่มความน่าเชื่อถือ

Filecoder Ransomware ติดเชื้อและทำงานอย่างไร

ลิงก์ที่มัลแวร์สร้างขึ้นมักจะมีแอปที่พยายามหลอกล่อเหยื่อ จุดประสงค์ที่แท้จริงของแอปปลอมกำลังทำงานอยู่เบื้องหลังอย่างรอบคอบ แอปนี้มีการตั้งค่าคำสั่งและการควบคุม (C2) แบบฮาร์ดโค้ดตลอดจนที่อยู่กระเป๋าเงิน Bitcoin ภายในซอร์สโค้ด ผู้โจมตียังใช้ Pastebin แพลตฟอร์มการแบ่งปันบันทึกออนไลน์ยอดนิยม แต่ทำหน้าที่เป็นเพียงท่อสำหรับการดึงข้อมูลแบบไดนามิกและอาจเป็นจุดติดเชื้อเพิ่มเติม

หลังจากที่ Filecoder ransomware ส่ง SMS ที่ปนเปื้อนเป็นชุดสำเร็จและทำงานเสร็จแล้วระบบจะสแกนอุปกรณ์ที่ติดไวรัสเพื่อค้นหาไฟล์จัดเก็บข้อมูลทั้งหมดและเข้ารหัสส่วนใหญ่ นักวิจัยของ ESET ได้ค้นพบมัลแวร์ดังกล่าวจะเข้ารหัสนามสกุลไฟล์ทุกประเภทที่มักใช้กับไฟล์ข้อความรูปภาพวิดีโอ ฯลฯ แต่ด้วยเหตุผลบางประการมันจะออกจากไฟล์เฉพาะ Android เช่น. apk หรือ. dex มัลแวร์ยังไม่สัมผัสไฟล์. ZIP และ. RAR ที่บีบอัดและไฟล์ที่มีขนาดเกิน 50 MB นักวิจัยสงสัยว่าผู้สร้างมัลแวร์อาจทำการคัดลอกวางที่ไม่ดีในการยกเนื้อหาจาก WannaCry ซึ่งเป็นแรนซัมแวร์รูปแบบที่รุนแรงและอุดมสมบูรณ์กว่ามาก ไฟล์ที่เข้ารหัสทั้งหมดจะต่อท้ายด้วยนามสกุล“ .seven”

นักวิจัยค้นพบ Android / Filecoder.C ซึ่งเป็นตระกูลแรนซัมแวร์ใหม่ของ Android ซึ่งพยายามแพร่กระจายไปยังผู้ติดต่อของเหยื่อและใช้กลอุบายที่ผิดปกติบางอย่าง https://t.co/5iCvkVbAND @welivesecurity @กรณี #ransomware # แอนดรอยด์ pic.twitter.com/d150eY4N7X
- เดวิดบิสสัน (@DMBisson) 30 กรกฎาคม 2019

หลังจากเข้ารหัสไฟล์บนอุปกรณ์มือถือ Android สำเร็จแล้ว ransomware จะกะพริบโน้ตเรียกค่าไถ่ทั่วไปที่มีข้อเรียกร้อง นักวิจัยสังเกตเห็นว่า Filecoder ransomware มีความต้องการตั้งแต่ประมาณ $ 98 ถึง $ 188 ในสกุลเงินดิจิทัล เพื่อสร้างความรู้สึกเร่งด่วนมัลแวร์ยังมีตัวจับเวลาง่ายๆที่ใช้เวลาประมาณ 3 วันหรือ 72 ชั่วโมง บันทึกค่าไถ่ยังระบุจำนวนไฟล์ที่จับเป็นตัวประกัน

ที่น่าสนใจคือ ransomware ไม่ได้ล็อกหน้าจออุปกรณ์หรือป้องกันไม่ให้ใช้สมาร์ทโฟน กล่าวอีกนัยหนึ่งเหยื่อยังคงสามารถใช้สมาร์ทโฟน Android ได้ แต่จะไม่สามารถเข้าถึงข้อมูลได้ ยิ่งไปกว่านั้นแม้ว่าเหยื่อจะถอนการติดตั้งแอพที่เป็นอันตรายหรือต้องสงสัย แต่ก็ไม่ได้ยกเลิกการเปลี่ยนแปลงหรือถอดรหัสไฟล์ Filecoder สร้างคู่คีย์สาธารณะและคีย์ส่วนตัวเมื่อเข้ารหัสเนื้อหาของอุปกรณ์ คีย์สาธารณะถูกเข้ารหัสด้วยอัลกอริทึม RSA-1024 ที่มีประสิทธิภาพและค่าฮาร์ดโค้ดซึ่งส่งไปยังผู้สร้าง หลังจากที่เหยื่อจ่ายเงินผ่านรายละเอียด Bitcoin ที่ให้มาผู้โจมตีสามารถถอดรหัสคีย์ส่วนตัวและปล่อยให้เหยื่อได้

Filecoder ไม่เพียง แต่ก้าวร้าว แต่ยังซับซ้อนในการหลีกหนี:

ก่อนหน้านี้นักวิจัยของ ESET รายงานว่าค่าคีย์ฮาร์ดโค้ดสามารถใช้ในการถอดรหัสไฟล์ได้โดยไม่ต้องเสียค่าธรรมเนียมแบล็กเมล์ด้วยการ“ เปลี่ยนอัลกอริธึมการเข้ารหัสเป็นอัลกอริธึมการถอดรหัส” ในระยะสั้นนักวิจัยรู้สึกว่าผู้สร้าง Filecoder ransomware ทิ้งวิธีการที่ค่อนข้างง่ายในการสร้างตัวถอดรหัสโดยไม่ได้ตั้งใจ

“ เนื่องจากการกำหนดเป้าหมายที่แคบและข้อบกพร่องทั้งในการดำเนินการของแคมเปญและการใช้งานการเข้ารหัสผลกระทบของ ransomware ใหม่นี้จึงมี จำกัด อย่างไรก็ตามหากนักพัฒนาแก้ไขข้อบกพร่องและผู้ให้บริการเริ่มกำหนดเป้าหมายกลุ่มผู้ใช้ที่กว้างขึ้น ransomware Android / Filecoder.C อาจกลายเป็นภัยคุกคามที่ร้ายแรงได้”

นักวิจัยได้อัปเดตโพสต์เกี่ยวกับ Filecoder ransomware และชี้แจงว่า '' คีย์ที่เข้ารหัส 'นี้เป็นคีย์สาธารณะ RSA-1024 ซึ่งไม่สามารถแตกหักได้ง่ายดังนั้นการสร้างตัวถอดรหัสสำหรับแรนซัมแวร์นี้จึงแทบจะเป็นไปไม่ได้เลย'

น่าแปลกที่นักวิจัยพบว่าไม่มีสิ่งใดในรหัสของ ransomware ที่สนับสนุนการอ้างว่าข้อมูลที่ได้รับผลกระทบจะหายไปหลังจากหมดเวลานับถอยหลัง ยิ่งไปกว่านั้นผู้สร้างมัลแวร์ดูเหมือนจะเล่นกับเงินค่าไถ่ แม้ว่า 0.01 Bitcoin หรือ BTC จะยังคงเป็นมาตรฐาน แต่ตัวเลขที่ตามมาดูเหมือนจะเป็นรหัสผู้ใช้ที่สร้างโดยมัลแวร์ นักวิจัยสงสัยว่าวิธีนี้อาจใช้เป็นปัจจัยในการตรวจสอบสิทธิ์เพื่อจับคู่การชำระเงินที่เข้ามากับเหยื่อเพื่อสร้างและส่งคีย์การถอดรหัส

แท็ก หุ่นยนต์