Grandoreiro โจมตีอีกครั้ง: การโจมตีฟิชชิ่งแบบ Geofence ตั้งเป้าไปที่กลุ่มละตินอเมริกา
การรณรงค์ฟิชชิ่งใหม่ที่มีเป้าหมายเจาะจงกลุ่มผู้ใช้งานในภูมิภาคละตินอเมริกา โดยใช้มัลแวร์แบบ Trojan ที่รู้จักกันในชื่อ “Grandoreiro” ซึ่งมีชื่อเสียงในการขโมยข้อมูลการเงินและข้อมูลธนาคารที่สำคัญ โดยมัลแวร์ตัวนี้ได้ถูกพัฒนาขึ้นมาอย่างต่อเนื่องเพื่อหลบเลี่ยงระบบตรวจจับแบบเดิม ๆ และยังสามารถให้ผู้โจมตีเข้าควบคุมเครื่องคอมพิวเตอร์ของเหยื่อจากระยะไกลได้อีกด้วย
หนึ่งในเทคนิคที่โดดเด่นของแคมเปญนี้คือการใช้งาน “geofencing” ซึ่งเป็นการตรวจสอบตำแหน่งที่แท้จริงของเหยื่อโดยดูจาก IP address หากพบว่าเหยื่ออยู่ในประเทศเป้าหมายที่ระบุไว้ในภูมิภาคละตินอเมริกา มัลแวร์จะดำเนินการต่อ แต่หากไม่ตรงกับเป้าหมายก็จะหยุดทำงานทันที ทำให้การโจมตีมีความเฉพาะเจาะจงและลดความเสี่ยงต่อการถูกตรวจจับในวงกว้าง
ขั้นตอนการโจมตีเริ่มต้นจากการส่งอีเมลฟิชชิ่งที่เชิญชวนให้เหยื่อคลิกลิงก์หรือดาวน์โหลดไฟล์ที่ดูเหมือน PDF ซึ่งจริง ๆ แล้วเป็นไฟล์ที่บรรจุ loader ในรูปแบบของไฟล์ซิป (.ZIP) หรืออาร์แคช (.RAR) เมื่อผู้ใช้งานเปิดไฟล์ออกมา มัลแวร์จะตรวจสอบตำแหน่งโดยเชื่อมต่อกับบริการภายนอก (ip-apicom) และหากตำแหน่ง IP ของเหยื่อตรงกับเป้าหมายในละตินอเมริกา มัลแวร์จะดำเนินการขั้นตอนถัดไป นั่นคือการหลบเลี่ยงระบบ DNS โดยส่งคำขอผ่าน Google DNS เพื่อหาที่อยู่ของเซิร์ฟเวอร์ควบคุมคำสั่ง (C2) จากนั้นจึงส่งคำสั่ง GET เพื่อสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ C2 ซึ่งเปิดโอกาสให้ผู้โจมตีสามารถส่งคำสั่งเพิ่มเติมและขโมยข้อมูลไปได้
นักวิจัยด้านความปลอดภัยใช้แพลตฟอร์ม sandbox ของ ANY.RUN ในการวิเคราะห์พฤติกรรมของ Grandoreiro จัดทำแผนผังขั้นตอนการทำงานของมัลแวร์ได้อย่างละเอียด ตั้งแต่ขั้นตอนการเข้าถึงเริ่มต้นด้วยฟิชชิ่ง ไปจนถึงเทคนิคการหลบเลี่ยงและการตั้งค่าเชื่อมต่อกับเซิร์ฟเวอร์ C2 ที่ทำให้การโจมตีนี้มีความซับซ้อนและยากต่อการตรวจจับด้วยเครื่องมือความปลอดภัยแบบดั้งเดิม
การโจมตีในยุคปัจจุบันมีความซับซ้อนและใช้เทคนิคที่ชาญฉลาดในการหลบเลี่ยงระบบรักษาความปลอดภัย ซึ่งเป็นการเตือนให้ผู้ดูแลระบบและทีมงานความปลอดภัยต้องพัฒนาวิธีการตรวจจับและตอบสนองภัยคุกคามอย่างต่อเนื่องเพื่อปกป้องข้อมูลและระบบภายในองค์กรให้ปลอดภัยจากการโจมตีในอนาคต
ที่มา: hackread
ติดต่อสอบถามเกี่ยวกับผลิตภัณฑ์ AntiVirus, DLP, MDM, Laptop, PC, Server, และผลิตภัณฑ์ไอทีอื่นๆอีกมากมายทั้ง Hardware และ Software พร้อมเสนอราคาที่คุ้มค่าและการบริการที่เปี่ยมประสิทธิภาพ
Mobile: 09 5368 5898
Tel: 0 2093 1625
Fax: 0 2093 1675 (Auto)
Email: sales@ampomicrosys.com
Latest Articles
CISA ระบุช่องโหว่ที่ถูกใช้ประโยชน์อย่างแข็งขันในอุปกรณ์ SMA ของ SonicWall
41% ของการโจมตีเลี่ยงการป้องกัน: การตรวจสอบการเปิดเผยการต่อต้านแก้ไขปัญหานั้น
Chrome 136 แก้ไขความเสี่ยงต่อความเป็นส่วนตัวของประวัติการใช้งานเบราว์เซอร์ 20 ปี
MITRE เตือนว่าโครงการ CVE อาจเกิดการหยุดชะงักท่ามกลางความไม่แน่นอนด้านเงินทุนของสหรัฐฯ
เหตุใดผู้นำด้านความปลอดภัย 78% จึงคิดทบทวนกลยุทธ์ทางไซเบอร์ทั้งหมดใหม่ในปี 2025
