“MostereRAT: มัลแวร์สายลับยุคใหม่ ใช้ AnyDesk และ TightVNC ยึดเครื่อง Windows แบบเงียบๆ!”
ลองจินตนาการว่าคุณเปิดอีเมลจากลูกค้าใหม่ที่ดูน่าเชื่อถือ มีไฟล์แนบเป็นเอกสาร Word ดูไม่มีพิษภัย แต่ทันทีที่คุณเปิดไฟล์นั้น…คุณได้เปิดประตูให้แฮกเกอร์เข้ามานั่งอยู่ในเครื่องคุณโดยไม่รู้ตัว
นี่คือสิ่งที่เกิดขึ้นกับมัลแวร์ตัวใหม่ชื่อว่า “MostereRAT” ซึ่งถูกค้นพบโดยนักวิจัยจาก FortiGuard Labs และกำลังโจมตีผู้ใช้ Windows โดยเฉพาะในประเทศญี่ปุ่นผ่านแคมเปญฟิชชิ่งที่แนบเนียนมาก
เมื่อเหยื่อคลิกลิงก์ในอีเมล มัลแวร์จะดาวน์โหลดไฟล์ Word ที่มี archive ซ่อนอยู่ภายใน และเมื่อเปิดไฟล์นั้น โปรแกรมอันตรายจะถูกติดตั้งทันที โดยใช้เทคนิคหลบเลี่ยงการตรวจจับขั้นสูง เช่น เขียนด้วยภาษา Easy Programming Language (EPL) ซึ่งเป็นภาษาสำหรับผู้ใช้จีนที่เครื่องมือวิเคราะห์มัลแวร์ทั่วไปไม่ค่อยรองรับ
จากนั้น MostereRAT จะปิดการทำงานของโปรแกรมป้องกันไวรัส, บล็อกการอัปเดต Windows และใช้การเข้ารหัสแบบ mutual TLS (mTLS) เพื่อซ่อนการสื่อสารกับเซิร์ฟเวอร์ควบคุม (C2) ทำให้แทบไม่มีใครตรวจจับได้
ที่น่ากลัวคือ มันใช้โปรแกรมที่ถูกต้องตามกฎหมายอย่าง AnyDesk และ TightVNC เพื่อควบคุมเครื่องของเหยื่อแบบเต็มรูปแบบ พร้อมสร้างบัญชีผู้ใช้ลับที่มีสิทธิ์ระดับผู้ดูแลระบบ เพื่อให้กลับเข้ามาได้แม้เหยื่อจะพยายามลบมัลแวร์ออกไปแล้ว
ลักษณะของ MostereRAT
เป็น Remote Access Trojan (RAT) ที่ให้แฮกเกอร์ควบคุมเครื่องจากระยะไกล
ถูกส่งผ่านอีเมลฟิชชิ่งที่ปลอมเป็นธุรกิจจริง
ใช้ไฟล์ Word ที่มี archive ซ่อนอยู่เพื่อหลอกให้เหยื่อเปิด
เขียนด้วยภาษา Easy Programming Language (EPL) เพื่อหลบการตรวจจับ
ปิดการทำงานของโปรแกรมป้องกันและบล็อกการอัปเดต Windows
ใช้การเข้ารหัสแบบ mTLS เพื่อซ่อนการสื่อสารกับเซิร์ฟเวอร์ควบคุม
ติดตั้งโปรแกรม AnyDesk และ TightVNC เพื่อควบคุมเครื่องเหยื่อ
สร้างบัญชีผู้ใช้ลับที่มีสิทธิ์ระดับ admin เพื่อรักษาการเข้าถึง
พัฒนามาจาก banking trojan ที่เคยพบในปี 2020
คำแนะนำจากผู้เชี่ยวชาญ
ควรตั้งค่าบราวเซอร์ให้ถามก่อนดาวน์โหลดไฟล์จากแหล่งที่ไม่รู้จัก
จำกัดสิทธิ์ผู้ใช้ในระบบ ไม่ควรให้สิทธิ์ระดับ SYSTEM หรือ TrustedInstaller
ใช้นโยบายควบคุมแอปพลิเคชันเพื่อป้องกันการรันโปรแกรมที่ไม่ได้รับอนุญาต
อัปเดตระบบและโปรแกรมป้องกันไวรัสอย่างสม่ำเสมอ
คำเตือนสำหรับผู้ใช้ Windows
การคลิกลิงก์ในอีเมลที่ดูน่าเชื่อถืออาจเปิดทางให้มัลแวร์เข้ามา
โปรแกรม AnyDesk และ TightVNC แม้จะถูกต้องตามกฎหมาย แต่สามารถถูกใช้ในทางร้ายได้
การปิดการทำงานของ Windows Security โดยมัลแวร์จะทำให้ระบบไร้การป้องกัน
บัญชีผู้ใช้ลับที่ถูกสร้างขึ้นอาจยังอยู่แม้จะลบมัลแวร์ไปแล้ว
การใช้ภาษา EPL ทำให้เครื่องมือวิเคราะห์ทั่วไปไม่สามารถตรวจจับได้
https://hackread.com/mostererat-windows-anydesk-tightvnc-access/
ลองจินตนาการว่าคุณเปิดอีเมลจากลูกค้าใหม่ที่ดูน่าเชื่อถือ มีไฟล์แนบเป็นเอกสาร Word ดูไม่มีพิษภัย แต่ทันทีที่คุณเปิดไฟล์นั้น…คุณได้เปิดประตูให้แฮกเกอร์เข้ามานั่งอยู่ในเครื่องคุณโดยไม่รู้ตัว
นี่คือสิ่งที่เกิดขึ้นกับมัลแวร์ตัวใหม่ชื่อว่า “MostereRAT” ซึ่งถูกค้นพบโดยนักวิจัยจาก FortiGuard Labs และกำลังโจมตีผู้ใช้ Windows โดยเฉพาะในประเทศญี่ปุ่นผ่านแคมเปญฟิชชิ่งที่แนบเนียนมาก
เมื่อเหยื่อคลิกลิงก์ในอีเมล มัลแวร์จะดาวน์โหลดไฟล์ Word ที่มี archive ซ่อนอยู่ภายใน และเมื่อเปิดไฟล์นั้น โปรแกรมอันตรายจะถูกติดตั้งทันที โดยใช้เทคนิคหลบเลี่ยงการตรวจจับขั้นสูง เช่น เขียนด้วยภาษา Easy Programming Language (EPL) ซึ่งเป็นภาษาสำหรับผู้ใช้จีนที่เครื่องมือวิเคราะห์มัลแวร์ทั่วไปไม่ค่อยรองรับ
จากนั้น MostereRAT จะปิดการทำงานของโปรแกรมป้องกันไวรัส, บล็อกการอัปเดต Windows และใช้การเข้ารหัสแบบ mutual TLS (mTLS) เพื่อซ่อนการสื่อสารกับเซิร์ฟเวอร์ควบคุม (C2) ทำให้แทบไม่มีใครตรวจจับได้
ที่น่ากลัวคือ มันใช้โปรแกรมที่ถูกต้องตามกฎหมายอย่าง AnyDesk และ TightVNC เพื่อควบคุมเครื่องของเหยื่อแบบเต็มรูปแบบ พร้อมสร้างบัญชีผู้ใช้ลับที่มีสิทธิ์ระดับผู้ดูแลระบบ เพื่อให้กลับเข้ามาได้แม้เหยื่อจะพยายามลบมัลแวร์ออกไปแล้ว
ลักษณะของ MostereRAT
เป็น Remote Access Trojan (RAT) ที่ให้แฮกเกอร์ควบคุมเครื่องจากระยะไกล
ถูกส่งผ่านอีเมลฟิชชิ่งที่ปลอมเป็นธุรกิจจริง
ใช้ไฟล์ Word ที่มี archive ซ่อนอยู่เพื่อหลอกให้เหยื่อเปิด
เขียนด้วยภาษา Easy Programming Language (EPL) เพื่อหลบการตรวจจับ
ปิดการทำงานของโปรแกรมป้องกันและบล็อกการอัปเดต Windows
ใช้การเข้ารหัสแบบ mTLS เพื่อซ่อนการสื่อสารกับเซิร์ฟเวอร์ควบคุม
ติดตั้งโปรแกรม AnyDesk และ TightVNC เพื่อควบคุมเครื่องเหยื่อ
สร้างบัญชีผู้ใช้ลับที่มีสิทธิ์ระดับ admin เพื่อรักษาการเข้าถึง
พัฒนามาจาก banking trojan ที่เคยพบในปี 2020
คำแนะนำจากผู้เชี่ยวชาญ
ควรตั้งค่าบราวเซอร์ให้ถามก่อนดาวน์โหลดไฟล์จากแหล่งที่ไม่รู้จัก
จำกัดสิทธิ์ผู้ใช้ในระบบ ไม่ควรให้สิทธิ์ระดับ SYSTEM หรือ TrustedInstaller
ใช้นโยบายควบคุมแอปพลิเคชันเพื่อป้องกันการรันโปรแกรมที่ไม่ได้รับอนุญาต
อัปเดตระบบและโปรแกรมป้องกันไวรัสอย่างสม่ำเสมอ
คำเตือนสำหรับผู้ใช้ Windows
การคลิกลิงก์ในอีเมลที่ดูน่าเชื่อถืออาจเปิดทางให้มัลแวร์เข้ามา
โปรแกรม AnyDesk และ TightVNC แม้จะถูกต้องตามกฎหมาย แต่สามารถถูกใช้ในทางร้ายได้
การปิดการทำงานของ Windows Security โดยมัลแวร์จะทำให้ระบบไร้การป้องกัน
บัญชีผู้ใช้ลับที่ถูกสร้างขึ้นอาจยังอยู่แม้จะลบมัลแวร์ไปแล้ว
การใช้ภาษา EPL ทำให้เครื่องมือวิเคราะห์ทั่วไปไม่สามารถตรวจจับได้
https://hackread.com/mostererat-windows-anydesk-tightvnc-access/
🕵️♂️ “MostereRAT: มัลแวร์สายลับยุคใหม่ ใช้ AnyDesk และ TightVNC ยึดเครื่อง Windows แบบเงียบๆ!”
ลองจินตนาการว่าคุณเปิดอีเมลจากลูกค้าใหม่ที่ดูน่าเชื่อถือ มีไฟล์แนบเป็นเอกสาร Word ดูไม่มีพิษภัย แต่ทันทีที่คุณเปิดไฟล์นั้น…คุณได้เปิดประตูให้แฮกเกอร์เข้ามานั่งอยู่ในเครื่องคุณโดยไม่รู้ตัว
นี่คือสิ่งที่เกิดขึ้นกับมัลแวร์ตัวใหม่ชื่อว่า “MostereRAT” ซึ่งถูกค้นพบโดยนักวิจัยจาก FortiGuard Labs และกำลังโจมตีผู้ใช้ Windows โดยเฉพาะในประเทศญี่ปุ่นผ่านแคมเปญฟิชชิ่งที่แนบเนียนมาก
เมื่อเหยื่อคลิกลิงก์ในอีเมล มัลแวร์จะดาวน์โหลดไฟล์ Word ที่มี archive ซ่อนอยู่ภายใน และเมื่อเปิดไฟล์นั้น โปรแกรมอันตรายจะถูกติดตั้งทันที โดยใช้เทคนิคหลบเลี่ยงการตรวจจับขั้นสูง เช่น เขียนด้วยภาษา Easy Programming Language (EPL) ซึ่งเป็นภาษาสำหรับผู้ใช้จีนที่เครื่องมือวิเคราะห์มัลแวร์ทั่วไปไม่ค่อยรองรับ
จากนั้น MostereRAT จะปิดการทำงานของโปรแกรมป้องกันไวรัส, บล็อกการอัปเดต Windows และใช้การเข้ารหัสแบบ mutual TLS (mTLS) เพื่อซ่อนการสื่อสารกับเซิร์ฟเวอร์ควบคุม (C2) ทำให้แทบไม่มีใครตรวจจับได้
ที่น่ากลัวคือ มันใช้โปรแกรมที่ถูกต้องตามกฎหมายอย่าง AnyDesk และ TightVNC เพื่อควบคุมเครื่องของเหยื่อแบบเต็มรูปแบบ พร้อมสร้างบัญชีผู้ใช้ลับที่มีสิทธิ์ระดับผู้ดูแลระบบ เพื่อให้กลับเข้ามาได้แม้เหยื่อจะพยายามลบมัลแวร์ออกไปแล้ว
✅ ลักษณะของ MostereRAT
➡️ เป็น Remote Access Trojan (RAT) ที่ให้แฮกเกอร์ควบคุมเครื่องจากระยะไกล
➡️ ถูกส่งผ่านอีเมลฟิชชิ่งที่ปลอมเป็นธุรกิจจริง
➡️ ใช้ไฟล์ Word ที่มี archive ซ่อนอยู่เพื่อหลอกให้เหยื่อเปิด
➡️ เขียนด้วยภาษา Easy Programming Language (EPL) เพื่อหลบการตรวจจับ
➡️ ปิดการทำงานของโปรแกรมป้องกันและบล็อกการอัปเดต Windows
➡️ ใช้การเข้ารหัสแบบ mTLS เพื่อซ่อนการสื่อสารกับเซิร์ฟเวอร์ควบคุม
➡️ ติดตั้งโปรแกรม AnyDesk และ TightVNC เพื่อควบคุมเครื่องเหยื่อ
➡️ สร้างบัญชีผู้ใช้ลับที่มีสิทธิ์ระดับ admin เพื่อรักษาการเข้าถึง
➡️ พัฒนามาจาก banking trojan ที่เคยพบในปี 2020
✅ คำแนะนำจากผู้เชี่ยวชาญ
➡️ ควรตั้งค่าบราวเซอร์ให้ถามก่อนดาวน์โหลดไฟล์จากแหล่งที่ไม่รู้จัก
➡️ จำกัดสิทธิ์ผู้ใช้ในระบบ ไม่ควรให้สิทธิ์ระดับ SYSTEM หรือ TrustedInstaller
➡️ ใช้นโยบายควบคุมแอปพลิเคชันเพื่อป้องกันการรันโปรแกรมที่ไม่ได้รับอนุญาต
➡️ อัปเดตระบบและโปรแกรมป้องกันไวรัสอย่างสม่ำเสมอ
‼️ คำเตือนสำหรับผู้ใช้ Windows
⛔ การคลิกลิงก์ในอีเมลที่ดูน่าเชื่อถืออาจเปิดทางให้มัลแวร์เข้ามา
⛔ โปรแกรม AnyDesk และ TightVNC แม้จะถูกต้องตามกฎหมาย แต่สามารถถูกใช้ในทางร้ายได้
⛔ การปิดการทำงานของ Windows Security โดยมัลแวร์จะทำให้ระบบไร้การป้องกัน
⛔ บัญชีผู้ใช้ลับที่ถูกสร้างขึ้นอาจยังอยู่แม้จะลบมัลแวร์ไปแล้ว
⛔ การใช้ภาษา EPL ทำให้เครื่องมือวิเคราะห์ทั่วไปไม่สามารถตรวจจับได้
https://hackread.com/mostererat-windows-anydesk-tightvnc-access/
0 Comments
0 Shares
72 Views
0 Reviews
Thai