ระวังความหื่นเป็นเหตุ แฮกเกอร์ใช้รูปนู้ดเป็นตัวล่อ ให้แตกไฟล์เพื่อใช้ช่องโหว่ WinRAR แพร่มัลแวร์

2019-02-28

สัปดาห์ที่แล้วมีรายงานการค้นพบช่องโหว่ร้ายแรงบน WinRAR ที่ทำให้แฮกเกอร์แตกไฟล์มุ่งร้ายที่ไหนก็ได้ในเครื่อง ล่าสุดมีรายงานจาก 360 Threat Intelligent Center ว่ามีแฮกเกอร์ใช้ช่องโหว่นี้แพร่มัลแวร์แล้ว โดยใช้รูปนางแบบในชุดว่ายน้ำหรือรูปนู้ดเป็นตัวล่อ

แน่นอนตัวไฟล์เป็นฟอร์แมต ACE แม้จะใช้นามสกุลไฟล์เป็น .rar ขณะที่ไฟล์ข้างในเมื่อกดดูพรีวิวจะพบว่าเป็นไฟล์รูปนางแบบในชุดว่ายน้ำหรือรูปโป๊หลายรูป เนื่องจากการกดพรีวิวทีละรูปจาก WinRAR ทำได้ลำบาก ผู้ใช้จึงมีแนวโน้มจะแตกไฟล์ทั้งหมดออกมา โดยมีไฟล์ OfficeUpdateService.exe ถูกแตกออกมาพร้อมกันและจะไปอยู่ที่ %AppData%MicrosoftWindowsStart MenuProgramsStartup ซึ่งจะทำงานหลังผู้ใช้รีสตาร์ทหรือล็อกอินเข้ามาใหม่

No Descriptionตัวอย่างไฟล์ที่แฮกเกอร์เอามาล่อ

OfficeUpdateService.exe เป็นโปรแกรม backdoor เปิดทางให้แฮกเกอร์เข้าควบคุมเครื่องจากระยะไกล สามารถสั่งงานฟังก์ชันหลักๆ ของเครื่องได้ อาทิ สั่งชัตดาวน์, รีสตาร์ท, อัพโหลดดาวน์โหลดไฟล์, สั่ง remote shell ไปจนถึงติดตั้งโทรจัน

No Description

นอกจากเคสนี้แล้วนักวิจัยยังเจอแพทเทิร์นการโจมตีคล้ายๆ กัน แต่อยู่ในรูปของไฟล์หางานที่แพร่ระบาดในซาอุดิอาระเบีย เป็นต้น พร้อมเตือนว่านี่อาจเป็นแค่ช่วงเริ่มต้นของการโจมตีช่องโหว่นี้ พร้อมแนะนำให้ผู้ใช้ WinRAR อัพเดตเวอร์ชันล่าสุด หรือหากอัพเดตไม่ได้ก็สามารถลบไลบรารี UNACEV2.DLL ออกได้เลย ซึ่งจะไม่กระทบการใช้งานทั่วไปแค่ไม่สามารถแตกไฟล์ .ace ได้เท่านั้น

ที่มา – 360 Threat Intelligent Center

Topics: