“Caminho” มัลแวร์สายลับจากบราซิล ใช้ภาพจาก Archive.org ซ่อนโค้ดอันตรายด้วยเทคนิคลับ LSB Steganography
นักวิจัยจาก Arctic Wolf Labs เปิดโปงแคมเปญมัลแวร์ใหม่ชื่อ “Caminho” ซึ่งเป็นบริการ Loader-as-a-Service (LaaS) ที่มีต้นกำเนิดจากบราซิล โดยใช้เทคนิคซ่อนโค้ดอันตรายไว้ในภาพจากเว็บไซต์ Archive.org ผ่านวิธีการที่เรียกว่า LSB Steganography ซึ่งมักพบในงานจารกรรมมากกว่าการโจมตีเพื่อผลประโยชน์ทางการเงิน
Caminho เป็นมัลแวร์ที่ถูกออกแบบมาให้ทำงานแบบ “ไร้ร่องรอย” โดยไม่เขียนไฟล์ลงดิสก์ แต่โหลดโค้ดอันตรายเข้าสู่หน่วยความจำโดยตรง ทำให้หลบเลี่ยงการตรวจจับจากแอนตี้ไวรัสได้อย่างมีประสิทธิภาพ
วิธีการทำงานของ Caminho: 1️⃣ เริ่มจากอีเมลฟิชชิ่งที่แนบไฟล์ JavaScript หรือ VBScript ในรูปแบบ ZIP/RAR 2️⃣ เมื่อเปิดไฟล์ สคริปต์จะเรียกใช้ PowerShell เพื่อดึงภาพจาก Archive.org 3️⃣ ภาพเหล่านั้นมีโค้ด .NET ที่ถูกซ่อนไว้ในบิตต่ำสุดของพิกเซล (LSB) 4️⃣ PowerShell จะถอดรหัสโค้ดและโหลดเข้าสู่หน่วยความจำ 5️⃣ จากนั้นมัลแวร์จะถูกฉีดเข้าไปในโปรเซส calc.exe เพื่อหลบเลี่ยงการตรวจสอบ
มัลแวร์นี้ยังมีระบบตั้งเวลาให้กลับมาทำงานซ้ำ และมีฟีเจอร์ตรวจจับ sandbox, VM และเครื่องมือ debug เพื่อหลบเลี่ยงการวิเคราะห์จากนักวิจัย
Arctic Wolf พบว่า Caminho ถูกใช้โดยกลุ่มแฮกเกอร์ที่พูดภาษาโปรตุเกส และมีเป้าหมายในหลายประเทศ เช่น บราซิล แอฟริกาใต้ ยูเครน และโปแลนด์ โดยมีการให้บริการแบบ “เช่าใช้” ซึ่งลูกค้าสามารถเลือก payload ที่ต้องการได้ เช่น REMCOS RAT, XWorm หรือ Katz Stealer
ลักษณะของ Caminho Loader
เป็นบริการ Loader-as-a-Service จากบราซิล
ใช้เทคนิค LSB Steganography ซ่อนโค้ดในภาพ
โหลดโค้ดเข้าสู่หน่วยความจำโดยไม่เขียนไฟล์ลงดิสก์
ฉีดโค้ดเข้าสู่โปรเซส calc.exe เพื่อหลบเลี่ยงการตรวจจับ
วิธีการแพร่กระจาย
เริ่มจากอีเมลฟิชชิ่งที่แนบไฟล์สคริปต์
ใช้ PowerShell ดึงภาพจาก Archive.org
ถอดรหัส payload จากภาพแล้วโหลดเข้าสู่ระบบ
ความสามารถพิเศษของมัลแวร์
ตรวจจับ sandbox, VM และเครื่องมือ debug
ตั้งเวลาให้กลับมาทำงานซ้ำผ่าน scheduled tasks
รองรับการโหลด payload หลายชนิดตามความต้องการของลูกค้า
การใช้บริการแบบเช่า
ลูกค้าสามารถเลือก payload ที่ต้องการ
ใช้ภาพเดียวกันในหลายแคมเปญเพื่อประหยัดต้นทุน
ใช้บริการเว็บที่น่าเชื่อถือ เช่น Archive.org, paste.ee เพื่อหลบเลี่ยงการบล็อก
คำเตือนเกี่ยวกับภัยคุกคามจาก Caminho
อีเมลฟิชชิ่งที่แนบไฟล์ ZIP/RAR อาจเป็นจุดเริ่มต้นของการติดมัลแวร์
ภาพจากเว็บที่ดูปลอดภัยอาจมีโค้ดอันตรายซ่อนอยู่
การโหลดโค้ดเข้าสู่หน่วยความจำโดยตรงทำให้ตรวจจับได้ยาก
https://securityonline.info/caminho-loader-as-a-service-uses-lsb-steganography-to-hide-net-payloads-in-archive-org-images/
นักวิจัยจาก Arctic Wolf Labs เปิดโปงแคมเปญมัลแวร์ใหม่ชื่อ “Caminho” ซึ่งเป็นบริการ Loader-as-a-Service (LaaS) ที่มีต้นกำเนิดจากบราซิล โดยใช้เทคนิคซ่อนโค้ดอันตรายไว้ในภาพจากเว็บไซต์ Archive.org ผ่านวิธีการที่เรียกว่า LSB Steganography ซึ่งมักพบในงานจารกรรมมากกว่าการโจมตีเพื่อผลประโยชน์ทางการเงิน
Caminho เป็นมัลแวร์ที่ถูกออกแบบมาให้ทำงานแบบ “ไร้ร่องรอย” โดยไม่เขียนไฟล์ลงดิสก์ แต่โหลดโค้ดอันตรายเข้าสู่หน่วยความจำโดยตรง ทำให้หลบเลี่ยงการตรวจจับจากแอนตี้ไวรัสได้อย่างมีประสิทธิภาพ
วิธีการทำงานของ Caminho: 1️⃣ เริ่มจากอีเมลฟิชชิ่งที่แนบไฟล์ JavaScript หรือ VBScript ในรูปแบบ ZIP/RAR 2️⃣ เมื่อเปิดไฟล์ สคริปต์จะเรียกใช้ PowerShell เพื่อดึงภาพจาก Archive.org 3️⃣ ภาพเหล่านั้นมีโค้ด .NET ที่ถูกซ่อนไว้ในบิตต่ำสุดของพิกเซล (LSB) 4️⃣ PowerShell จะถอดรหัสโค้ดและโหลดเข้าสู่หน่วยความจำ 5️⃣ จากนั้นมัลแวร์จะถูกฉีดเข้าไปในโปรเซส calc.exe เพื่อหลบเลี่ยงการตรวจสอบ
มัลแวร์นี้ยังมีระบบตั้งเวลาให้กลับมาทำงานซ้ำ และมีฟีเจอร์ตรวจจับ sandbox, VM และเครื่องมือ debug เพื่อหลบเลี่ยงการวิเคราะห์จากนักวิจัย
Arctic Wolf พบว่า Caminho ถูกใช้โดยกลุ่มแฮกเกอร์ที่พูดภาษาโปรตุเกส และมีเป้าหมายในหลายประเทศ เช่น บราซิล แอฟริกาใต้ ยูเครน และโปแลนด์ โดยมีการให้บริการแบบ “เช่าใช้” ซึ่งลูกค้าสามารถเลือก payload ที่ต้องการได้ เช่น REMCOS RAT, XWorm หรือ Katz Stealer
ลักษณะของ Caminho Loader
เป็นบริการ Loader-as-a-Service จากบราซิล
ใช้เทคนิค LSB Steganography ซ่อนโค้ดในภาพ
โหลดโค้ดเข้าสู่หน่วยความจำโดยไม่เขียนไฟล์ลงดิสก์
ฉีดโค้ดเข้าสู่โปรเซส calc.exe เพื่อหลบเลี่ยงการตรวจจับ
วิธีการแพร่กระจาย
เริ่มจากอีเมลฟิชชิ่งที่แนบไฟล์สคริปต์
ใช้ PowerShell ดึงภาพจาก Archive.org
ถอดรหัส payload จากภาพแล้วโหลดเข้าสู่ระบบ
ความสามารถพิเศษของมัลแวร์
ตรวจจับ sandbox, VM และเครื่องมือ debug
ตั้งเวลาให้กลับมาทำงานซ้ำผ่าน scheduled tasks
รองรับการโหลด payload หลายชนิดตามความต้องการของลูกค้า
การใช้บริการแบบเช่า
ลูกค้าสามารถเลือก payload ที่ต้องการ
ใช้ภาพเดียวกันในหลายแคมเปญเพื่อประหยัดต้นทุน
ใช้บริการเว็บที่น่าเชื่อถือ เช่น Archive.org, paste.ee เพื่อหลบเลี่ยงการบล็อก
คำเตือนเกี่ยวกับภัยคุกคามจาก Caminho
อีเมลฟิชชิ่งที่แนบไฟล์ ZIP/RAR อาจเป็นจุดเริ่มต้นของการติดมัลแวร์
ภาพจากเว็บที่ดูปลอดภัยอาจมีโค้ดอันตรายซ่อนอยู่
การโหลดโค้ดเข้าสู่หน่วยความจำโดยตรงทำให้ตรวจจับได้ยาก
https://securityonline.info/caminho-loader-as-a-service-uses-lsb-steganography-to-hide-net-payloads-in-archive-org-images/
🕵️♂️ “Caminho” มัลแวร์สายลับจากบราซิล ใช้ภาพจาก Archive.org ซ่อนโค้ดอันตรายด้วยเทคนิคลับ LSB Steganography
นักวิจัยจาก Arctic Wolf Labs เปิดโปงแคมเปญมัลแวร์ใหม่ชื่อ “Caminho” ซึ่งเป็นบริการ Loader-as-a-Service (LaaS) ที่มีต้นกำเนิดจากบราซิล โดยใช้เทคนิคซ่อนโค้ดอันตรายไว้ในภาพจากเว็บไซต์ Archive.org ผ่านวิธีการที่เรียกว่า LSB Steganography ซึ่งมักพบในงานจารกรรมมากกว่าการโจมตีเพื่อผลประโยชน์ทางการเงิน
Caminho เป็นมัลแวร์ที่ถูกออกแบบมาให้ทำงานแบบ “ไร้ร่องรอย” โดยไม่เขียนไฟล์ลงดิสก์ แต่โหลดโค้ดอันตรายเข้าสู่หน่วยความจำโดยตรง ทำให้หลบเลี่ยงการตรวจจับจากแอนตี้ไวรัสได้อย่างมีประสิทธิภาพ
🔍 วิธีการทำงานของ Caminho: 1️⃣ เริ่มจากอีเมลฟิชชิ่งที่แนบไฟล์ JavaScript หรือ VBScript ในรูปแบบ ZIP/RAR 2️⃣ เมื่อเปิดไฟล์ สคริปต์จะเรียกใช้ PowerShell เพื่อดึงภาพจาก Archive.org 3️⃣ ภาพเหล่านั้นมีโค้ด .NET ที่ถูกซ่อนไว้ในบิตต่ำสุดของพิกเซล (LSB) 4️⃣ PowerShell จะถอดรหัสโค้ดและโหลดเข้าสู่หน่วยความจำ 5️⃣ จากนั้นมัลแวร์จะถูกฉีดเข้าไปในโปรเซส calc.exe เพื่อหลบเลี่ยงการตรวจสอบ
มัลแวร์นี้ยังมีระบบตั้งเวลาให้กลับมาทำงานซ้ำ และมีฟีเจอร์ตรวจจับ sandbox, VM และเครื่องมือ debug เพื่อหลบเลี่ยงการวิเคราะห์จากนักวิจัย
Arctic Wolf พบว่า Caminho ถูกใช้โดยกลุ่มแฮกเกอร์ที่พูดภาษาโปรตุเกส และมีเป้าหมายในหลายประเทศ เช่น บราซิล แอฟริกาใต้ ยูเครน และโปแลนด์ โดยมีการให้บริการแบบ “เช่าใช้” ซึ่งลูกค้าสามารถเลือก payload ที่ต้องการได้ เช่น REMCOS RAT, XWorm หรือ Katz Stealer
✅ ลักษณะของ Caminho Loader
➡️ เป็นบริการ Loader-as-a-Service จากบราซิล
➡️ ใช้เทคนิค LSB Steganography ซ่อนโค้ดในภาพ
➡️ โหลดโค้ดเข้าสู่หน่วยความจำโดยไม่เขียนไฟล์ลงดิสก์
➡️ ฉีดโค้ดเข้าสู่โปรเซส calc.exe เพื่อหลบเลี่ยงการตรวจจับ
✅ วิธีการแพร่กระจาย
➡️ เริ่มจากอีเมลฟิชชิ่งที่แนบไฟล์สคริปต์
➡️ ใช้ PowerShell ดึงภาพจาก Archive.org
➡️ ถอดรหัส payload จากภาพแล้วโหลดเข้าสู่ระบบ
✅ ความสามารถพิเศษของมัลแวร์
➡️ ตรวจจับ sandbox, VM และเครื่องมือ debug
➡️ ตั้งเวลาให้กลับมาทำงานซ้ำผ่าน scheduled tasks
➡️ รองรับการโหลด payload หลายชนิดตามความต้องการของลูกค้า
✅ การใช้บริการแบบเช่า
➡️ ลูกค้าสามารถเลือก payload ที่ต้องการ
➡️ ใช้ภาพเดียวกันในหลายแคมเปญเพื่อประหยัดต้นทุน
➡️ ใช้บริการเว็บที่น่าเชื่อถือ เช่น Archive.org, paste.ee เพื่อหลบเลี่ยงการบล็อก
‼️ คำเตือนเกี่ยวกับภัยคุกคามจาก Caminho
⛔ อีเมลฟิชชิ่งที่แนบไฟล์ ZIP/RAR อาจเป็นจุดเริ่มต้นของการติดมัลแวร์
⛔ ภาพจากเว็บที่ดูปลอดภัยอาจมีโค้ดอันตรายซ่อนอยู่
⛔ การโหลดโค้ดเข้าสู่หน่วยความจำโดยตรงทำให้ตรวจจับได้ยาก
https://securityonline.info/caminho-loader-as-a-service-uses-lsb-steganography-to-hide-net-payloads-in-archive-org-images/
0 ความคิดเห็น
0 การแบ่งปัน
15 มุมมอง
0 รีวิว
English