มัลแวร์ปลอมตัวเป็น SteamCleaner
นักวิจัยจาก AhnLab พบมัลแวร์ที่แฝงตัวในโปรแกรมชื่อ SteamCleaner ซึ่งจริง ๆ เป็นโครงการโอเพนซอร์สที่ถูกทิ้งร้างตั้งแต่ปี 2018 แต่ถูกคนร้ายหยิบมาแก้ไขใหม่แล้วปล่อยออกไป โดยเซ็นด้วยใบรับรองดิจิทัลที่ถูกต้อง ทำให้ดูเหมือนโปรแกรมจริง
เมื่อผู้ใช้ติดตั้ง มัลแวร์จะลงสคริปต์ Node.js ที่เชื่อมต่อกับเซิร์ฟเวอร์ควบคุม (C2) และสามารถสั่งรันคำสั่งระยะไกลได้ ที่น่ากังวลคือมันมีระบบตรวจจับ sandbox หากอยู่ในเครื่องทดสอบจะไม่ทำงาน แต่ถ้าอยู่ในเครื่องจริงจะปล่อย payload อันตรายทันที
การแพร่กระจายส่วนใหญ่เกิดจากเว็บไซต์แจกโปรแกรมเถื่อน เช่น crack หรือ keygen ซึ่งพาไปยัง GitHub ที่มีไฟล์ติดมัลแวร์อยู่
สรุปหัวข้อ:
มัลแวร์ใช้ SteamCleaner เป็นฉากบังหน้า
เซ็นด้วยใบรับรองแท้เพื่อหลอกผู้ใช้
ใช้ Node.js และ PowerShell ในการติดตั้ง payload
สร้าง scheduled task ให้ทำงานทุกครั้งที่บูต
ผู้ใช้ที่ดาวน์โหลดโปรแกรมเถื่อนเสี่ยงสูง
GitHub ถูกใช้เป็นแหล่งแพร่กระจายไฟล์ปลอม
https://securityonline.info/malware-disguised-as-steamcleaner-uses-valid-signature-to-inject-node-js-rce-backdoor/
นักวิจัยจาก AhnLab พบมัลแวร์ที่แฝงตัวในโปรแกรมชื่อ SteamCleaner ซึ่งจริง ๆ เป็นโครงการโอเพนซอร์สที่ถูกทิ้งร้างตั้งแต่ปี 2018 แต่ถูกคนร้ายหยิบมาแก้ไขใหม่แล้วปล่อยออกไป โดยเซ็นด้วยใบรับรองดิจิทัลที่ถูกต้อง ทำให้ดูเหมือนโปรแกรมจริง
เมื่อผู้ใช้ติดตั้ง มัลแวร์จะลงสคริปต์ Node.js ที่เชื่อมต่อกับเซิร์ฟเวอร์ควบคุม (C2) และสามารถสั่งรันคำสั่งระยะไกลได้ ที่น่ากังวลคือมันมีระบบตรวจจับ sandbox หากอยู่ในเครื่องทดสอบจะไม่ทำงาน แต่ถ้าอยู่ในเครื่องจริงจะปล่อย payload อันตรายทันที
การแพร่กระจายส่วนใหญ่เกิดจากเว็บไซต์แจกโปรแกรมเถื่อน เช่น crack หรือ keygen ซึ่งพาไปยัง GitHub ที่มีไฟล์ติดมัลแวร์อยู่
สรุปหัวข้อ:
มัลแวร์ใช้ SteamCleaner เป็นฉากบังหน้า
เซ็นด้วยใบรับรองแท้เพื่อหลอกผู้ใช้
ใช้ Node.js และ PowerShell ในการติดตั้ง payload
สร้าง scheduled task ให้ทำงานทุกครั้งที่บูต
ผู้ใช้ที่ดาวน์โหลดโปรแกรมเถื่อนเสี่ยงสูง
GitHub ถูกใช้เป็นแหล่งแพร่กระจายไฟล์ปลอม
https://securityonline.info/malware-disguised-as-steamcleaner-uses-valid-signature-to-inject-node-js-rce-backdoor/
🎮 มัลแวร์ปลอมตัวเป็น SteamCleaner
นักวิจัยจาก AhnLab พบมัลแวร์ที่แฝงตัวในโปรแกรมชื่อ SteamCleaner ซึ่งจริง ๆ เป็นโครงการโอเพนซอร์สที่ถูกทิ้งร้างตั้งแต่ปี 2018 แต่ถูกคนร้ายหยิบมาแก้ไขใหม่แล้วปล่อยออกไป โดยเซ็นด้วยใบรับรองดิจิทัลที่ถูกต้อง ทำให้ดูเหมือนโปรแกรมจริง
เมื่อผู้ใช้ติดตั้ง มัลแวร์จะลงสคริปต์ Node.js ที่เชื่อมต่อกับเซิร์ฟเวอร์ควบคุม (C2) และสามารถสั่งรันคำสั่งระยะไกลได้ ที่น่ากังวลคือมันมีระบบตรวจจับ sandbox หากอยู่ในเครื่องทดสอบจะไม่ทำงาน แต่ถ้าอยู่ในเครื่องจริงจะปล่อย payload อันตรายทันที
การแพร่กระจายส่วนใหญ่เกิดจากเว็บไซต์แจกโปรแกรมเถื่อน เช่น crack หรือ keygen ซึ่งพาไปยัง GitHub ที่มีไฟล์ติดมัลแวร์อยู่
สรุปหัวข้อ:
✅ มัลแวร์ใช้ SteamCleaner เป็นฉากบังหน้า
➡️ เซ็นด้วยใบรับรองแท้เพื่อหลอกผู้ใช้
✅ ใช้ Node.js และ PowerShell ในการติดตั้ง payload
➡️ สร้าง scheduled task ให้ทำงานทุกครั้งที่บูต
‼️ ผู้ใช้ที่ดาวน์โหลดโปรแกรมเถื่อนเสี่ยงสูง
⛔ GitHub ถูกใช้เป็นแหล่งแพร่กระจายไฟล์ปลอม
https://securityonline.info/malware-disguised-as-steamcleaner-uses-valid-signature-to-inject-node-js-rce-backdoor/
0 Comments
0 Shares
8 Views
0 Reviews
Thai