มัลแวร์ใหม่: Stealth Stealer ซ่อน LokiBot ในไฟล์ภาพ
นักวิจัยจาก Splunk Threat Research Team (STRT) เปิดเผยการค้นพบมัลแวร์ใหม่ที่ใช้เทคนิค Steganography ซ่อนโค้ดอันตรายในไฟล์ภาพ BMP และ PNG โดยมัลแวร์นี้ถูกพัฒนาเป็น .NET Loader รุ่นใหม่ ที่สามารถหลบเลี่ยงการตรวจจับและสุดท้ายปล่อย payload ของ LokiBot ซึ่งเป็นหนึ่งใน Trojan ขโมยข้อมูลที่แพร่หลายที่สุดในโลก
วิธีการทำงานของ Loader
Loader ตัวใหม่นี้ปลอมตัวเป็นเอกสารธุรกิจ เช่น Request for Quotation (RFQ) เพื่อหลอกให้เหยื่อเปิดไฟล์ เมื่อรันขึ้นมา มันจะ ถอดรหัสโมดูล container ที่ซ่อนอยู่ภายใน และดึง stager modules ที่ถูกฝังไว้ในไฟล์ภาพออกมา จากนั้นจึงค่อยๆ ปลดล็อก payload ขั้นสุดท้าย ซึ่งก็คือ LokiBot
เทคนิคการซ่อนตัวในไฟล์ภาพ
มัลแวร์ใช้การฝังโค้ดไว้ใน metadata ของไฟล์ภาพ BMP และ PNG โดยเข้ารหัสด้วยอัลกอริทึมเดียวกับที่เคยใช้ใน Quasar RAT loaders ทำให้การตรวจจับด้วยเครื่องมือ static analysis และ automated payload extraction ยากขึ้นมาก นักวิจัยต้องปรับเครื่องมือ PixDig เพื่อบังคับถอดรหัสโดยตรงจากไฟล์ภาพ จึงสามารถดึง stager modules ออกมาได้สำเร็จ
ความเสี่ยงและผลกระทบ
LokiBot เป็นมัลแวร์ที่มีมานานกว่า 10 ปี และยังคงถูกใช้แพร่หลายในการขโมยข้อมูล เช่น รหัสผ่านเบราว์เซอร์, อีเมล, FTP, Wallet คริปโต, Windows credentials และไฟล์การตั้งค่าต่างๆ การพัฒนา loader รุ่นใหม่ที่ซ่อนตัวในไฟล์ภาพสะท้อนให้เห็นว่าอาชญากรไซเบอร์ยังคงปรับปรุงเทคนิคเพื่อเลี่ยงการตรวจจับ และทำให้การป้องกันยากขึ้นเรื่อยๆ
สรุปสาระสำคัญ
การค้นพบใหม่
Stealth Stealer เป็น .NET Loader รุ่นใหม่ที่ใช้ steganography
ซ่อน LokiBot payload ในไฟล์ BMP และ PNG
วิธีการทำงาน
Loader ปลอมตัวเป็นเอกสาร RFQ เพื่อหลอกเหยื่อ
ถอดรหัส container module และดึง stager modules จากไฟล์ภาพ
เทคนิคการซ่อนตัว
ใช้ metadata ของไฟล์ภาพเข้ารหัสโค้ด
ทำให้ static detection และ automated extraction ยากขึ้น
ผลกระทบ
LokiBot ขโมยข้อมูล credential, wallet, และไฟล์การตั้งค่าต่างๆ
ยังคงเป็นภัยคุกคามที่แพร่หลายแม้มีมานานกว่า 10 ปี
คำเตือน
การใช้ไฟล์ภาพเป็นตัวซ่อน payload ทำให้การตรวจจับยากขึ้น
องค์กรควรอัปเดตเครื่องมือวิเคราะห์และตรวจสอบไฟล์ที่น่าสงสัย
ผู้ใช้ควรระวังการเปิดไฟล์แนบที่ดูเหมือนเอกสารธุรกิจ
https://securityonline.info/stealth-stealer-new-net-loader-hides-lokibot-payload-in-bmp-png-images-using-advanced-steganography/
นักวิจัยจาก Splunk Threat Research Team (STRT) เปิดเผยการค้นพบมัลแวร์ใหม่ที่ใช้เทคนิค Steganography ซ่อนโค้ดอันตรายในไฟล์ภาพ BMP และ PNG โดยมัลแวร์นี้ถูกพัฒนาเป็น .NET Loader รุ่นใหม่ ที่สามารถหลบเลี่ยงการตรวจจับและสุดท้ายปล่อย payload ของ LokiBot ซึ่งเป็นหนึ่งใน Trojan ขโมยข้อมูลที่แพร่หลายที่สุดในโลก
วิธีการทำงานของ Loader
Loader ตัวใหม่นี้ปลอมตัวเป็นเอกสารธุรกิจ เช่น Request for Quotation (RFQ) เพื่อหลอกให้เหยื่อเปิดไฟล์ เมื่อรันขึ้นมา มันจะ ถอดรหัสโมดูล container ที่ซ่อนอยู่ภายใน และดึง stager modules ที่ถูกฝังไว้ในไฟล์ภาพออกมา จากนั้นจึงค่อยๆ ปลดล็อก payload ขั้นสุดท้าย ซึ่งก็คือ LokiBot
เทคนิคการซ่อนตัวในไฟล์ภาพ
มัลแวร์ใช้การฝังโค้ดไว้ใน metadata ของไฟล์ภาพ BMP และ PNG โดยเข้ารหัสด้วยอัลกอริทึมเดียวกับที่เคยใช้ใน Quasar RAT loaders ทำให้การตรวจจับด้วยเครื่องมือ static analysis และ automated payload extraction ยากขึ้นมาก นักวิจัยต้องปรับเครื่องมือ PixDig เพื่อบังคับถอดรหัสโดยตรงจากไฟล์ภาพ จึงสามารถดึง stager modules ออกมาได้สำเร็จ
ความเสี่ยงและผลกระทบ
LokiBot เป็นมัลแวร์ที่มีมานานกว่า 10 ปี และยังคงถูกใช้แพร่หลายในการขโมยข้อมูล เช่น รหัสผ่านเบราว์เซอร์, อีเมล, FTP, Wallet คริปโต, Windows credentials และไฟล์การตั้งค่าต่างๆ การพัฒนา loader รุ่นใหม่ที่ซ่อนตัวในไฟล์ภาพสะท้อนให้เห็นว่าอาชญากรไซเบอร์ยังคงปรับปรุงเทคนิคเพื่อเลี่ยงการตรวจจับ และทำให้การป้องกันยากขึ้นเรื่อยๆ
สรุปสาระสำคัญ
การค้นพบใหม่
Stealth Stealer เป็น .NET Loader รุ่นใหม่ที่ใช้ steganography
ซ่อน LokiBot payload ในไฟล์ BMP และ PNG
วิธีการทำงาน
Loader ปลอมตัวเป็นเอกสาร RFQ เพื่อหลอกเหยื่อ
ถอดรหัส container module และดึง stager modules จากไฟล์ภาพ
เทคนิคการซ่อนตัว
ใช้ metadata ของไฟล์ภาพเข้ารหัสโค้ด
ทำให้ static detection และ automated extraction ยากขึ้น
ผลกระทบ
LokiBot ขโมยข้อมูล credential, wallet, และไฟล์การตั้งค่าต่างๆ
ยังคงเป็นภัยคุกคามที่แพร่หลายแม้มีมานานกว่า 10 ปี
คำเตือน
การใช้ไฟล์ภาพเป็นตัวซ่อน payload ทำให้การตรวจจับยากขึ้น
องค์กรควรอัปเดตเครื่องมือวิเคราะห์และตรวจสอบไฟล์ที่น่าสงสัย
ผู้ใช้ควรระวังการเปิดไฟล์แนบที่ดูเหมือนเอกสารธุรกิจ
https://securityonline.info/stealth-stealer-new-net-loader-hides-lokibot-payload-in-bmp-png-images-using-advanced-steganography/
🕵️♂️ มัลแวร์ใหม่: Stealth Stealer ซ่อน LokiBot ในไฟล์ภาพ
นักวิจัยจาก Splunk Threat Research Team (STRT) เปิดเผยการค้นพบมัลแวร์ใหม่ที่ใช้เทคนิค Steganography ซ่อนโค้ดอันตรายในไฟล์ภาพ BMP และ PNG โดยมัลแวร์นี้ถูกพัฒนาเป็น .NET Loader รุ่นใหม่ ที่สามารถหลบเลี่ยงการตรวจจับและสุดท้ายปล่อย payload ของ LokiBot ซึ่งเป็นหนึ่งใน Trojan ขโมยข้อมูลที่แพร่หลายที่สุดในโลก
🎭 วิธีการทำงานของ Loader
Loader ตัวใหม่นี้ปลอมตัวเป็นเอกสารธุรกิจ เช่น Request for Quotation (RFQ) เพื่อหลอกให้เหยื่อเปิดไฟล์ เมื่อรันขึ้นมา มันจะ ถอดรหัสโมดูล container ที่ซ่อนอยู่ภายใน และดึง stager modules ที่ถูกฝังไว้ในไฟล์ภาพออกมา จากนั้นจึงค่อยๆ ปลดล็อก payload ขั้นสุดท้าย ซึ่งก็คือ LokiBot
🖼️ เทคนิคการซ่อนตัวในไฟล์ภาพ
มัลแวร์ใช้การฝังโค้ดไว้ใน metadata ของไฟล์ภาพ BMP และ PNG โดยเข้ารหัสด้วยอัลกอริทึมเดียวกับที่เคยใช้ใน Quasar RAT loaders ทำให้การตรวจจับด้วยเครื่องมือ static analysis และ automated payload extraction ยากขึ้นมาก นักวิจัยต้องปรับเครื่องมือ PixDig เพื่อบังคับถอดรหัสโดยตรงจากไฟล์ภาพ จึงสามารถดึง stager modules ออกมาได้สำเร็จ
⚠️ ความเสี่ยงและผลกระทบ
LokiBot เป็นมัลแวร์ที่มีมานานกว่า 10 ปี และยังคงถูกใช้แพร่หลายในการขโมยข้อมูล เช่น รหัสผ่านเบราว์เซอร์, อีเมล, FTP, Wallet คริปโต, Windows credentials และไฟล์การตั้งค่าต่างๆ การพัฒนา loader รุ่นใหม่ที่ซ่อนตัวในไฟล์ภาพสะท้อนให้เห็นว่าอาชญากรไซเบอร์ยังคงปรับปรุงเทคนิคเพื่อเลี่ยงการตรวจจับ และทำให้การป้องกันยากขึ้นเรื่อยๆ
📌 สรุปสาระสำคัญ
✅ การค้นพบใหม่
➡️ Stealth Stealer เป็น .NET Loader รุ่นใหม่ที่ใช้ steganography
➡️ ซ่อน LokiBot payload ในไฟล์ BMP และ PNG
✅ วิธีการทำงาน
➡️ Loader ปลอมตัวเป็นเอกสาร RFQ เพื่อหลอกเหยื่อ
➡️ ถอดรหัส container module และดึง stager modules จากไฟล์ภาพ
✅ เทคนิคการซ่อนตัว
➡️ ใช้ metadata ของไฟล์ภาพเข้ารหัสโค้ด
➡️ ทำให้ static detection และ automated extraction ยากขึ้น
✅ ผลกระทบ
➡️ LokiBot ขโมยข้อมูล credential, wallet, และไฟล์การตั้งค่าต่างๆ
➡️ ยังคงเป็นภัยคุกคามที่แพร่หลายแม้มีมานานกว่า 10 ปี
‼️ คำเตือน
⛔ การใช้ไฟล์ภาพเป็นตัวซ่อน payload ทำให้การตรวจจับยากขึ้น
⛔ องค์กรควรอัปเดตเครื่องมือวิเคราะห์และตรวจสอบไฟล์ที่น่าสงสัย
⛔ ผู้ใช้ควรระวังการเปิดไฟล์แนบที่ดูเหมือนเอกสารธุรกิจ
https://securityonline.info/stealth-stealer-new-net-loader-hides-lokibot-payload-in-bmp-png-images-using-advanced-steganography/
0 ความคิดเห็น
0 การแบ่งปัน
20 มุมมอง
0 รีวิว
English