Back

รู้ไว้ดีกว่าแก้!! การป้องกันตัวเองจากมัลแวร์ Roaming Mantis

24-05-2018 First Section / ไอที อินเทอร์เน็ต -

การทำงานของมัลแวร์ Roaming Mantis จะคล้าย ๆ กับเวอร์ชันก่อนหน้านี้ โดยมัลแวร์ Roaming Mantis ใหม่จะถูกแพร่กระจายผ่าน DNS hijacking โดยแฮกเกอร์จะเปลี่ยนการตั้งค่า DNS ของ Wireless Routers เพื่อเปลี่ยนเส้นทางการรับส่งข้อมูลไปยังเว็บไซต์ที่เป็นอันตราย

ดังนั้นเมื่อใดก็ตามที่ผู้ใช้พยายามเข้าถึงเว็บไซต์ผ่านทาง Routers ที่ถูกมัลแวร์บุกรุกจะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์อื่นแทนนั่นเอง หลังจากนั้นอุปกรณ์จะถูกมัลแวร์เหล่านี้รบกวนการใช้งาน ซึ่งอาจส่งผลทำให้อุปกรณ์ทำงานช้าลง

นักวิจัยคนหนึ่งกล่าวว่า “หลังจากที่ผู้ใช้ Android ถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ที่เป็นอันตรายพวกเขาจะได้รับแจ้งให้อัปเดตเบราว์เซอร์ หรือแอปพลิเคชัน ซึ่งนำไปสู่การดาวน์โหลดแอปพลิเคชันที่เป็นอันตรายซึ่งมีชื่อว่า chrome.apk หรือเวอร์ชันอื่นชื่อ facebook.apk นอกจากนี้แฮกเกอร์ยังได้วางแผนหลีกเลี่ยงการตรวจจับเว็บไซต์ปลอมจึงได้สร้างแพ็กเกจใหม่ในแบบเรียลไทม์พร้อมกับไฟล์ APK ที่มีความเฉพาะและมีความพิเศษ สำหรับดาวน์โหลดพร้อมกับการตั้งชื่อไฟล์เป็นตัวเลข 8 ตัวแบบสุ่ม เมื่อผู้ใช้อุปกรณ์หลงกลลวงทำการติดตั้งแล้ว ผู้บุกรุกจะสามารถควบคุมอุปกรณ์แอนดรอยด์ที่ติดมัลแวร์ โดยใช้คำสั่งในระบบลับ ๆ 19 คำ ซึ่งรวมถึง SendSms, SetWifi, Gcont, Lock, OnRecordAction, Call, Get_Apps, Ping และอื่น ๆ

หากผู้ที่ตกเป็นเหยื่อคือ เจ้าของอุปกรณ์ iOS ตัวมัลแวร์จะเปลี่ยนเส้นทางผู้ใช้แบบ Phishing ไปยังเว็บไซต์ที่เลียนแบบเว็บไซต์ของ Apple โดยอ้างว่าเป็น 'Security.app.com' ทำให้ผู้ใช้หลงเชื่อได้ง่าย เพราะคิดว่าเป็นข้อความจากทางบริษัทผู้ผลิตอุปกรณ์ ซึ่งในเว็บไซต์ดังกล่าวที่เลียนแบบจะขอให้ผู้ใช้ป้อนชื่อผู้ใช้, รหัสผ่าน, หมายเลขบัตร, วันหมดอายุของบัตร และหมายเลข CVV โดยเกี่ยวข้องกับข้อมูลบัตรเครดิตของผู้ใช้

นอกจากการขโมยข้อมูลที่ละเอียดอ่อนจากอุปกรณ์ Android และ iOS แล้วนักวิจัยพบว่า Roaming Mantis ใช้สคริปต์การขุดข้อมูลการเข้ารหัสลับบนเบราว์เซอร์จาก CoinHive บนหน้า Landing Page แต่ละหน้า หากเข้าใช้งานเบราว์เซอร์บนเดสก์ท็อป

นี่คือวิธีการป้องกันตัวเองจาก Roaming Mantis

วิธีป้องกันตัวเองจากมัลแวร์ดังกล่าวเบื้องต้น นักวิจัยแนะนำให้ผู้ใช้ตรวจสอบให้แน่ใจว่าเราเตอร์ของผู้ใช้ ได้ถูกอัปเดตเป็นเฟิร์มแวร์เวอร์ชันล่าสุดแล้วหรือยัง? และได้รับการป้องกันด้วยรหัสผ่านที่รัดกุมและแข็งแกร่งพอไหม หากรหัสของผู้ใช้ยังเป็น 1234 หรือง่าย ๆ อย่าง AR5555 แล้วละก็ควรรีบเปลี่ยนทันที

เนื่องจากแคมเปญที่แฮกเกอร์ใช้จะเป็นการโจมตีเพื่อสังหารโดเมนที่ถูกต้องและเปลี่ยนเส้นทางผู้ใช้ไปยังไฟล์ดาวน์โหลดที่เป็นอันตรายแทน ดังนั้นผู้ใช้ควรตรวจสอบให้แน่ใจว่าเว็บไซต์ที่เข้าชมมีการเปิดใช้งาน HTTPS อยู่

บอกต่อ :