Grandoreiro มัลแวร์ชื่อดัง กลับมาแล้ว หลังโดนปราบปรามอย่างหนัก มุ่งโจมตีธนาคารกว่า 1,500 แห่ง ทั่วโลก

Grandoreiro

ในโลกที่กิจกรรม และธุรกรรมต่าง ๆ ถูกยกขึ้นมาไว้บนโลกออนไลน์ เป็นดิจิทัลกันแทบทุกชนิด นั่นทำให้ข้อมูลที่มีค่าตั้งแต่ข้อมูลทั่วไป ไปจนถึงเงินในบัญชีธนาคาร ได้กลายมาเป็นเป้าหมายของแฮกเกอร์ที่จะนำเอามาใช้สร้างผลกำไรให้ตัวเองได้ร่ำรวย ไม่ว่าจะเป็นการขโมยมาตรง ๆ การเรียกค่าไถ่ ไปจนถึงการนำเอาข้อมูลไปขาย

ซึ่งการจะได้มานั้น โดยมากมักจะเป็นการใช้มัลแวร์ และนั่นทำให้ทั้งหน่วยงานภาครัฐ และเอกชนทำงานในการปราบปรามอย่างหนักจน มัลแวร์ บางตัวได้หายไปจากหน้าสื่อยาวนานแทบจะเป็นปี บางตัวก็เพียงแค่นับเดือน แต่การปราบปรามใช่ว่าจะถอนรากถอนโคนได้ บางตัวก็ได้กลับมาพร้อมเป้าที่ใหญ่กว่าเดิม พร้อมสร้างอันตรายระลอกใหม่อีกครั้ง

จากรายงานของทีมวิจัย IBM X-Force ซึ่งเป็นหน่วยงานย่อยผู้เชี่ยวชาญด้าน Cloud จากบริษัท IBM ได้รายงานถึงการกลับมาของ มัลแวร์ Grandoreiro หลังจากที่ได้ถูกปราบปรามอย่างหนักในช่วงเดือนมกราคมที่ผ่านมา โดยในช่วงการปราบปรามนั้น

ตัวโครงสร้างพื้นฐานสำหรับการปฏิบัติการแพร่กระจายของ มัลแวร์ ได้ถูกทางหน่วยงานรัฐของประเทศบราซิล ทำการปราบปรามจนปิดตัวลง โดยการกลับมาของมัลแวร์ในรอบนี้นั้นได้มุ่งหมายที่จะโจมตีหน่วยงานทางธนาคาร และการเงินกว่า 1,500 แห่ง ใน 60 ประเทศทุกทวีปทั่วโลก

มัลแวร์ Grandoreiro จัดเป็นมัลแวร์ในประเภท Banking Malware ซึ่งเน้นในการขโมยข้อมูลทางการเงินเป็นหลัก โดยตัวมัลแวร์นั้นในปัจจุบันมาในรูปแบบ MaaS หรือ Malware-as-a-service ที่แฮกเกอร์สามารถสั่งซื้อมาใช้งานได้จากเครือข่าย Deep Web

โดยรูปแบบการโจมตีนั้น จะเน้นการใช้วิธี Phishing ด้วยการส่งอีเมลหลอกลวงไปที่เหยื่อ มาในรูปแบบลิงก์ ที่หลอกลวงว่าเป็น Invoice หลังจากที่เหยื่อได้ทำการกดลิงก์ที่เป็นไอคอนไฟล์ PDF แล้ว ระบบกลับโหลดไฟล์มาในรูปแบบไฟล์ .ZIP โดยภายในตัวไฟล์นี้จะมีไฟล์สำหรับรัน มัลแวร์ อยู่ หลังจากรันขึ้นมาตัวไฟล์จะทำหน้าที่เป็น Loader เพื่อโหลดไฟล์มัลแวร์ มาจากเซิร์ฟเวอร์ควบคุม (Command and Control หรือ C2) ซึ่งมีการทำให้ขนาดไฟล์ใหญ่เกิน 100 MB เพื่อ Bypass ระบบตรวจจับมัลแวร์

มัลแวร์ Grandoreiro มีความสามารถในการโจมตีที่หลากหลาย ตั้งแต่การขโมยข้อมูล, ควบคุมเครื่องจากระยะไกล ไปจนถึงการล้วงข้อมูลจากอีเมลบน Microsoft Outlook แล้วใช้บัญชีอีเมลของเหยื่อในการยิงอีเมลสแปมเพื่อหลอกลวงเหยื่อรายใหม่

ในปัจจุบัน ถึงแม้ มัลแวร์ ตัวนี้จะยังไม่ถูกตรวจพบในไทย แต่ทุกคนโดยเฉพาะสถาบันการเงินควรระมัดระวังตัวอย่างยิ่งยวด เพราะด้วยรูปแบบการแพร่กระจาย อาจทำให้มีความเสี่ยงที่จะติดจากการติดต่อกับสถาบันการเงินในต่างประเทศที่เป็นคู่ค้าได้

ที่มา : thehackernews.com