เทรนด์ไมโคร เตือน มัลแวร์เรียกค่าไถ่ Pokemon Go สร้างช่องโหว่ให้กับ Window

Home / IT News / เทรนด์ไมโคร เตือน มัลแวร์เรียกค่าไถ่ Pokemon Go สร้างช่องโหว่ให้กับ Window

ท่ามกลางความคลั่งไคล้ในโมบายล์เกม โปเกมอน โก (Pokemon GO) คนร้ายเตรียมที่จะใช้ประโยชน์จากความแพร่หลายของเกมดังกล่าวเพื่อแพร่กระจายมัลแวร์เรียกค่าไถ่ Ransomware โดยมัลแวร์ชนิดใหม่ที่ตรวจพบเมื่อไม่นานมานี้ปลอมแปลงเป็นเกม Pokemon GO สำหรับ Windows โดยเทรนด์ไมโครได้ตรวจพบมัลแวร์ชนิดนี้มีชื่อว่า Ransom_POGOTEAR.A มีลักษณะคล้ายคลึงกับมัลแวร์เรียกค่าไถ่อื่นๆ

อย่างไรก็ตาม หลังจากที่ตรวจสอบอย่างละเอียด พบว่าผู้สร้างพัฒนาต่อยอดจาก Hidden Tear ซึ่งเป็นมัลแวร์เรียกค่าไถ่แบบโอเพ่นซอร์สที่ถูกเผยแพร่เมื่อเดือนสิงหาคม ปีที่แล้ว โดยมีจุดมุ่งหมายเพื่อให้ความรู้แก่บุคคลทั่วไป

pokemon-go-logo_resize

มัลแวร์เรียกค่าไถ่ Pokemon GO ได้รับการออกแบบให้สร้างบัญชีผู้ใช้ที่เป็นช่องโหว่ภายใต้ชื่อ Hack3r ในระบบปฏิบัติการ Windows และถูกเพิ่มไปยังกลุ่มผู้ดูแลระบบ (Administrator) นอกจากนี้ ยังมีการปรับเปลี่ยนการลงทะเบียน (registry) เพื่อซ่อนบัญชี Hack3r จากหน้าจอล็อกอินของ Windows และยังมีอีกฟีเจอร์ที่สร้างการใช้งานเครือข่ายร่วมกันบนคอมพิวเตอร์ของเหยื่อ

เพื่อให้มัลแวร์เรียกค่าไถ่สามารถแพร่กระจาย ด้วยการคัดลอกไฟล์มัลแวร์ไปยังไดรฟ์ทั้งหมด และเมื่อไฟล์มัลแวร์ถูกคัดลอกไปยังไดรฟ์ที่ถอดออกได้ ก็จะสร้างไฟล์รันอัตโนมัติ (Autorun) เพื่อให้มัลแวร์ทำงานทุกครั้งที่มีใครบางคนเข้าถึงไดรฟ์ที่ถอดออกได้ นอกจากนี้ไฟล์มัลแวร์ยังถูกคัดลอกไปยังส่วนรูท (Root) ของไดรฟ์แบบติดตั้งถาวรอื่นๆ  วิธีนี้จะทำให้มัลแวร์เรียกค่าไถ่ Pokemon GO เริ่มทำงานเมื่อเหยื่อล็อกอินเข้าสู่ Windows

pogotear-ransomware

นักวิจัยระบุว่า มีตัวบ่งชี้มากมายที่ทำให้ทราบว่ามัลแวร์เรียกค่าไถ่ดังกล่าวยังคงอยู่ระหว่างการพัฒนา เช่น มีการใช้คีย์เข้ารหัส AES แบบคงที่ 123vivalalgerie นอกจากนี้ เซิร์ฟเวอร์สั่งการและควบคุม (C&C) ใช้ไอพีแอดเดรสแบบส่วนตัว ซึ่งนั่นหมายความว่ามัลแวร์ไม่สามารถเชื่อมต่อผ่านอินเทอร์เน็ตได้

จากภาษาที่ใช้ในข้อความเรียกค่าไถ่ เชื่อว่ามัลแวร์ Pokemon GO น่าจะพุ่งเป้าหมายไปที่ผู้ใช้ที่พูดภาษาอาหรับ โดยหน้าจอเรียกค่าไถ่ที่แนบมาเป็นรูปตัวการ์ตูนปิกาจู (Pikachu)  นอกจากนั้น ไฟล์สกรีนเซฟเวอร์ยังประกอบด้วยรูปภาพที่มีข้อความว่า Sans Titre ซึ่งเป็นภาษาฝรั่งเศสที่ตรงกับคำว่า Untitled นับเป็นเบาะแสหนึ่งที่บ่งบอกถึงแหล่งที่มาของผู้พัฒนา