ผู้โจมตีได้ใช้สปายแวร์ตัวใหม่กับอุปกรณ์ Android ระดับองค์กร ซึ่งมีชื่อว่า RatMilad และปลอมตัวเป็นแอปที่มีประโยชน์ในการแก้ไขข้อจำกัดทางอินเทอร์เน็ตของบางประเทศ
นักวิจัยจาก Zimperium zLabs กล่าวว่าขณะนี้ แคมเปญดังกล่าวกำลังดำเนินการในตะวันออกกลางเพื่อรวบรวมข้อมูลส่วนตัวและข้อมูลองค์กรของเหยื่อ
RatMilad เวอร์ชันดั้งเดิมซ่อนอยู่หลังแอป VPN และหมายเลขโทรศัพท์ปลอมที่เรียกว่า Text Me นักวิจัยเปิดเผยใน บล็อกโพสต์เผยแพร่เมื่อวันพุธ.
ฟังก์ชันของแอปนี้มีจุดประสงค์เพื่อให้ผู้ใช้สามารถยืนยันบัญชีโซเชียลมีเดียผ่านทางโทรศัพท์ของตนได้ ซึ่งเป็น “เทคนิคทั่วไปที่ใช้โดยผู้ใช้โซเชียลมีเดียในประเทศที่การเข้าถึงอาจถูกจำกัดหรืออาจต้องการบัญชีที่สองที่ได้รับการยืนยัน” Zimperium zLabs นักวิจัย Nipun Gupta เขียนไว้ในโพสต์
อย่างไรก็ตาม เมื่อเร็วๆ นี้ นักวิจัยค้นพบตัวอย่างสดของสปายแวร์ RatMilad ที่เผยแพร่ผ่าน NumRent ซึ่งเป็น Text Me เวอร์ชันที่เปลี่ยนชื่อและอัปเดตแบบกราฟิกผ่านช่องทาง Telegram เขากล่าว นักพัฒนายังได้สร้างเว็บไซต์ผลิตภัณฑ์สำหรับการโฆษณาและเผยแพร่แอป เพื่อพยายามหลอกให้เหยื่อเชื่อว่าแอปนั้นถูกต้องตามกฎหมาย
“เราเชื่อว่าผู้ประสงค์ร้ายที่รับผิดชอบต่อ RatMilad ได้รับรหัสจากกลุ่ม AppMilad และรวมเข้ากับแอปปลอมเพื่อแจกจ่ายให้กับเหยื่อที่ไม่สงสัย” Gupta เขียน
ผู้โจมตีใช้ช่องทาง Telegram เพื่อ "สนับสนุนให้มีการโหลดแอปปลอมผ่านทางวิศวกรรมสังคม" และการเปิดใช้งาน "การอนุญาตที่สำคัญ" บนอุปกรณ์ Gupta กล่าวเสริม
เมื่อติดตั้งแล้ว และหลังจากที่ผู้ใช้เปิดใช้งานแอปเพื่อเข้าถึงบริการต่างๆ RatMilad จะโหลด ทำให้ผู้โจมตีสามารถควบคุมอุปกรณ์ได้เกือบทั้งหมด นักวิจัยกล่าว จากนั้นพวกเขาสามารถเข้าถึงกล้องของอุปกรณ์เพื่อถ่ายภาพ บันทึกวิดีโอและเสียง รับตำแหน่ง GPS ที่แม่นยำ และดูรูปภาพจากอุปกรณ์ เหนือสิ่งอื่นใด Gupta เขียน
RatMilad ได้รับ RAT-ty: เครื่องมือขโมยข้อมูลอันทรงพลัง
เมื่อใช้งานแล้ว RatMilad จะเข้าถึงเหมือนกับโทรจันการเข้าถึงระยะไกลขั้นสูง (RAT) ที่รับและดำเนินการคำสั่งเพื่อรวบรวมและกรองข้อมูลที่หลากหลายและดำเนินการที่เป็นอันตรายหลายอย่าง นักวิจัยกล่าว
“เช่นเดียวกับสปายแวร์มือถืออื่นๆ ที่เราเคยเห็น ข้อมูลที่ขโมยจากอุปกรณ์เหล่านี้สามารถใช้เพื่อเข้าถึงระบบส่วนตัวขององค์กร แบล็กเมล์เหยื่อ และอื่นๆ อีกมากมาย” Gupta เขียน “ผู้กระทำความผิดสามารถจัดทำบันทึกเกี่ยวกับเหยื่อ ดาวน์โหลดเนื้อหาที่ถูกขโมย และรวบรวมข้อมูลสำหรับการกระทำที่ชั่วร้ายอื่นๆ”
จากมุมมองของการปฏิบัติงาน RatMilad ดำเนินการคำขอต่าง ๆ ไปยังเซิร์ฟเวอร์คำสั่งและการควบคุมตาม jobID และ requestType บางอย่าง จากนั้นจะคงอยู่และรองานต่าง ๆ ที่สามารถทำได้บนอุปกรณ์อย่างไม่มีกำหนด นักวิจัยกล่าว
น่าแปลกที่นักวิจัยเริ่มสังเกตเห็นสปายแวร์เมื่อไม่สามารถแพร่ระบาดไปยังอุปกรณ์องค์กรของลูกค้าได้ พวกเขาระบุได้ว่ามีแอปหนึ่งที่ส่งข้อมูลเพย์โหลดและดำเนินการตรวจสอบ ในระหว่างนั้นพวกเขาค้นพบช่องทางโทรเลขที่ใช้ในการแจกจ่ายตัวอย่าง RatMilad ในวงกว้างมากขึ้น โพสต์ดังกล่าวมีผู้เข้าชมมากกว่า 4,700 ครั้ง โดยมีการแชร์กับบุคคลภายนอกมากกว่า 200 ครั้ง โดยเหยื่อส่วนใหญ่อยู่ในตะวันออกกลาง
กรณีเฉพาะของแคมเปญ RatMilad นั้นไม่ได้ใช้งานอีกต่อไปในขณะที่เขียนโพสต์บนบล็อก แต่อาจมีช่องทาง Telegram อื่น ๆ ข่าวดีก็คือ จนถึงขณะนี้ นักวิจัยยังไม่พบหลักฐานใดๆ ของ RatMilad ใน App Store อย่างเป็นทางการของ Google Play
ภาวะที่กลืนไม่เข้าคายไม่ออกของสปายแวร์
ตามชื่อของมัน สปายแวร์ได้รับการออกแบบมาให้ซ่อนตัวอยู่ในเงามืดและทำงานอย่างเงียบ ๆ บนอุปกรณ์เพื่อติดตามเหยื่อโดยไม่เรียกร้องความสนใจ
อย่างไรก็ตาม สปายแวร์ได้ย้ายออกจากขอบของการใช้งานแอบแฝงก่อนหน้านี้และเข้าสู่กระแสหลัก ต้องขอบคุณข่าวบล็อกบัสเตอร์ที่เผยแพร่เมื่อปีที่แล้วว่าสปายแวร์ Pegasus พัฒนาโดย NSO Group ในอิสราเอล ถูกรัฐบาลเผด็จการข่มเหง เพื่อสอดแนมนักข่าว กลุ่มสิทธิมนุษยชน นักการเมือง และทนายความ
โดยเฉพาะอุปกรณ์ Android มีความเสี่ยงต่อแคมเปญสปายแวร์ นักวิจัยของ Sophos ถูกค้นพบ สปายแวร์ Android รุ่นใหม่ เชื่อมโยงกับกลุ่ม APT ตะวันออกกลางในเดือนพฤศจิกายน 2021 การวิเคราะห์จาก Google TAG เผยแพร่ในเดือนพฤษภาคมบ่งชี้ว่ารัฐบาลอย่างน้อยแปดแห่งจากทั่วโลกกำลังซื้อช่องโหว่แบบ Zero-day ของ Android เพื่อวัตถุประสงค์ในการเฝ้าระวังอย่างลับๆ
เมื่อไม่นานมานี้ นักวิจัยได้ค้นพบตระกูลสปายแวร์โมดูลาร์ Android ระดับองค์กร ขนานนามฤาษี ดำเนินการสอดแนมพลเมืองคาซัคสถานโดยรัฐบาลของพวกเขา
ภาวะที่กลืนไม่เข้าคายไม่ออกเกี่ยวกับสปายแวร์ก็คือว่ารัฐบาลและหน่วยงานสามารถนำไปใช้ได้อย่างถูกต้องตามกฎหมายในการดำเนินการสอดแนมตามทำนองคลองธรรมเพื่อติดตามกิจกรรมทางอาญา แท้จริงแล้ว cบริษัทที่ดำเนินงานอยู่ในพื้นที่สีเทาในการขายสปายแวร์ — รวมถึง RCS Labs, NSO Group, ผู้สร้าง FinFisher Gamma Group, บริษัท Candiru ของอิสราเอล และบริษัท Positive Technologies ของรัสเซีย ยืนยันว่าพวกเขาขายให้กับหน่วยงานข่าวกรองและการบังคับใช้ที่ถูกต้องตามกฎหมายเท่านั้น
อย่างไรก็ตาม ส่วนใหญ่ปฏิเสธข้อเรียกร้องนี้ รวมทั้งรัฐบาลสหรัฐฯ ด้วย เมื่อเร็ว ๆ นี้ตามทำนองคลองธรรม องค์กรเหล่านี้หลายแห่งที่มีส่วนร่วมในการละเมิดสิทธิมนุษยชนและการกำหนดเป้าหมายของนักข่าว นักปกป้องสิทธิมนุษยชน ผู้ไม่เห็นด้วย นักการเมืองฝ่ายค้าน ผู้นำธุรกิจ และอื่นๆ
เมื่อรัฐบาลเผด็จการหรือผู้แสดงภัยคุกคามได้รับสปายแวร์ มันก็อาจกลายเป็นธุรกิจที่น่ารังเกียจอย่างยิ่งได้ มากจนมีการถกเถียงกันมากมายเกี่ยวกับสิ่งที่ต้องทำเกี่ยวกับการดำรงอยู่และการขายสปายแวร์อย่างต่อเนื่อง บางคนเชื่อเช่นนั้น รัฐบาลควรได้รับการตัดสินใจ ใครสามารถซื้อได้ ซึ่งอาจเป็นปัญหาได้ ขึ้นอยู่กับแรงจูงใจของรัฐบาลในการใช้มัน
บริษัทบางแห่งกำลังดำเนินการเรื่องนี้ด้วยตนเองเพื่อช่วยปกป้องผู้ใช้จำนวนจำกัดที่อาจตกเป็นเป้าหมายของสปายแวร์ Apple ซึ่งมีอุปกรณ์ iPhone เป็นหนึ่งในผู้ที่ถูกบุกรุกในแคมเปญ Pegasus เพิ่งประกาศฟีเจอร์ใหม่บนทั้ง iOS และ macOS ที่เรียกว่า โหมดล็อกดาวน์ ซึ่งจะล็อคการทำงานของระบบใดๆ ก็ตามที่อาจถูกแย่งชิงโดยแม้แต่สปายแวร์ทหารรับจ้างที่มีความซับซ้อนและได้รับการสนับสนุนจากรัฐโดยอัตโนมัติ เพื่อโจมตีอุปกรณ์ของผู้ใช้ บริษัทกล่าว
แม้จะมีความพยายามทั้งหมดในการปราบปรามสปายแวร์ แต่การค้นพบล่าสุดของ RatMilad และ Hermit ดูเหมือนจะแสดงให้เห็นว่าพวกเขาไม่ได้ขัดขวางผู้คุกคามจากการพัฒนาและส่งมอบสปายแวร์ในเงามืด ซึ่งมันยังคงแฝงตัวอยู่และมักตรวจไม่พบ
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์
