มัลแวร์ Python แฝงตัวในไฟล์ PNG ปลอม เจาะระบบด้วยความแนบเนียน
นักวิจัยด้านความปลอดภัยพบมัลแวร์ใหม่ที่ใช้ภาษา Python ถูกซ่อนอยู่ในไฟล์ RAR ที่ปลอมตัวเป็นไฟล์ PNG เพื่อหลอกให้ผู้ใช้และระบบรักษาความปลอดภัยเชื่อว่าเป็นไฟล์รูปภาพธรรมดา แต่แท้จริงแล้วเป็นกลไกในการปล่อยโค้ดอันตรายเข้าสู่เครื่องคอมพิวเตอร์ โดยมัลแวร์นี้มีการเข้ารหัสหลายชั้นและใช้เทคนิคการปลอมแปลงไฟล์ระบบ Windows เพื่อให้ดูเหมือนถูกต้องตามมาตรฐาน
เมื่อไฟล์ถูกเปิดใช้งาน มัลแวร์จะสร้างโครงสร้างไดเรกทอรีปลอมที่มีไฟล์ชื่อคล้ายกับไฟล์ระบบ เช่น ntoskrnl.exe แต่แท้จริงคือ Python runtime ที่บรรจุ payload อันตรายไว้ภายใน จากนั้นมัลแวร์จะทำการถอดรหัส payload ผ่านหลายขั้นตอน เช่น Base64 → BZ2 → Zlib → marshal.loads ก่อนจะฉีดโค้ดเข้าไปในโปรเซสที่ถูกเซ็นรับรองโดย Microsoft อย่าง cvtres.exe เพื่อให้การทำงานดูเหมือนถูกต้องและยากต่อการตรวจจับ
สิ่งที่น่ากังวลคือ หลังจากมัลแวร์ฝังตัวสำเร็จ มันจะเชื่อมต่อกับเซิร์ฟเวอร์ควบคุม (C2) ผ่านการสื่อสารแบบเข้ารหัส ทำให้ผู้โจมตีสามารถสั่งงานจากระยะไกลได้ เช่น การขโมยไฟล์ การสอดแนมระบบ และการควบคุมเครื่องอย่างต่อเนื่อง แม้โปรเซสหลักจะถูกปิดไปแล้วก็ตาม
จากข้อมูลเพิ่มเติมในวงการไซเบอร์ พบว่าการใช้ไฟล์รูปภาพหรือเอกสารปลอมเพื่อซ่อนมัลแวร์เป็นเทคนิคที่ถูกใช้บ่อยขึ้นในช่วงไม่กี่ปีที่ผ่านมา โดยเฉพาะการโจมตีที่อาศัยความเชื่อใจของผู้ใช้ต่อไฟล์ที่ดู “ปลอดภัย” เช่น PNG, PDF หรือ DOCX ซึ่งทำให้ผู้ใช้ทั่วไปตกเป็นเป้าหมายได้ง่ายขึ้น และเป็นสัญญาณเตือนว่าการตรวจสอบไฟล์ต้องเข้มงวดมากกว่าเดิม
สรุปสาระสำคัญและคำเตือน
เทคนิคการโจมตีที่ใช้ไฟล์ปลอม
มัลแวร์ถูกซ่อนในไฟล์ RAR ที่ปลอมตัวเป็น PNG
ใช้ชื่อไฟล์ระบบ Windows ปลอมเพื่อหลอกผู้ใช้
กลไกการทำงานของมัลแวร์
ถอดรหัส payload หลายชั้น (Base64 → BZ2 → Zlib → marshal.loads)
ฉีดโค้ดเข้าไปในโปรเซส Microsoft ที่ถูกเซ็นรับรอง (cvtres.exe)
ความสามารถของมัลแวร์
เชื่อมต่อกับเซิร์ฟเวอร์ควบคุม (C2) ผ่านการเข้ารหัส
สั่งงานระยะไกล เช่น ขโมยไฟล์และควบคุมเครื่อง
คำเตือนต่อผู้ใช้ทั่วไป
ไฟล์ที่ดูปลอดภัย เช่น PNG หรือ PDF อาจซ่อนมัลแวร์ได้
การเปิดไฟล์จากแหล่งที่ไม่น่าเชื่อถือเสี่ยงต่อการติดเชื้อ
ต้องใช้ระบบรักษาความปลอดภัยที่สามารถตรวจจับการปลอมแปลงไฟล์ขั้นสูง
https://securityonline.info/extreme-stealth-python-malware-hides-inside-png-disguised-rar-injects-payload-into-cvtres-exe/
นักวิจัยด้านความปลอดภัยพบมัลแวร์ใหม่ที่ใช้ภาษา Python ถูกซ่อนอยู่ในไฟล์ RAR ที่ปลอมตัวเป็นไฟล์ PNG เพื่อหลอกให้ผู้ใช้และระบบรักษาความปลอดภัยเชื่อว่าเป็นไฟล์รูปภาพธรรมดา แต่แท้จริงแล้วเป็นกลไกในการปล่อยโค้ดอันตรายเข้าสู่เครื่องคอมพิวเตอร์ โดยมัลแวร์นี้มีการเข้ารหัสหลายชั้นและใช้เทคนิคการปลอมแปลงไฟล์ระบบ Windows เพื่อให้ดูเหมือนถูกต้องตามมาตรฐาน
เมื่อไฟล์ถูกเปิดใช้งาน มัลแวร์จะสร้างโครงสร้างไดเรกทอรีปลอมที่มีไฟล์ชื่อคล้ายกับไฟล์ระบบ เช่น ntoskrnl.exe แต่แท้จริงคือ Python runtime ที่บรรจุ payload อันตรายไว้ภายใน จากนั้นมัลแวร์จะทำการถอดรหัส payload ผ่านหลายขั้นตอน เช่น Base64 → BZ2 → Zlib → marshal.loads ก่อนจะฉีดโค้ดเข้าไปในโปรเซสที่ถูกเซ็นรับรองโดย Microsoft อย่าง cvtres.exe เพื่อให้การทำงานดูเหมือนถูกต้องและยากต่อการตรวจจับ
สิ่งที่น่ากังวลคือ หลังจากมัลแวร์ฝังตัวสำเร็จ มันจะเชื่อมต่อกับเซิร์ฟเวอร์ควบคุม (C2) ผ่านการสื่อสารแบบเข้ารหัส ทำให้ผู้โจมตีสามารถสั่งงานจากระยะไกลได้ เช่น การขโมยไฟล์ การสอดแนมระบบ และการควบคุมเครื่องอย่างต่อเนื่อง แม้โปรเซสหลักจะถูกปิดไปแล้วก็ตาม
จากข้อมูลเพิ่มเติมในวงการไซเบอร์ พบว่าการใช้ไฟล์รูปภาพหรือเอกสารปลอมเพื่อซ่อนมัลแวร์เป็นเทคนิคที่ถูกใช้บ่อยขึ้นในช่วงไม่กี่ปีที่ผ่านมา โดยเฉพาะการโจมตีที่อาศัยความเชื่อใจของผู้ใช้ต่อไฟล์ที่ดู “ปลอดภัย” เช่น PNG, PDF หรือ DOCX ซึ่งทำให้ผู้ใช้ทั่วไปตกเป็นเป้าหมายได้ง่ายขึ้น และเป็นสัญญาณเตือนว่าการตรวจสอบไฟล์ต้องเข้มงวดมากกว่าเดิม
สรุปสาระสำคัญและคำเตือน
เทคนิคการโจมตีที่ใช้ไฟล์ปลอม
มัลแวร์ถูกซ่อนในไฟล์ RAR ที่ปลอมตัวเป็น PNG
ใช้ชื่อไฟล์ระบบ Windows ปลอมเพื่อหลอกผู้ใช้
กลไกการทำงานของมัลแวร์
ถอดรหัส payload หลายชั้น (Base64 → BZ2 → Zlib → marshal.loads)
ฉีดโค้ดเข้าไปในโปรเซส Microsoft ที่ถูกเซ็นรับรอง (cvtres.exe)
ความสามารถของมัลแวร์
เชื่อมต่อกับเซิร์ฟเวอร์ควบคุม (C2) ผ่านการเข้ารหัส
สั่งงานระยะไกล เช่น ขโมยไฟล์และควบคุมเครื่อง
คำเตือนต่อผู้ใช้ทั่วไป
ไฟล์ที่ดูปลอดภัย เช่น PNG หรือ PDF อาจซ่อนมัลแวร์ได้
การเปิดไฟล์จากแหล่งที่ไม่น่าเชื่อถือเสี่ยงต่อการติดเชื้อ
ต้องใช้ระบบรักษาความปลอดภัยที่สามารถตรวจจับการปลอมแปลงไฟล์ขั้นสูง
https://securityonline.info/extreme-stealth-python-malware-hides-inside-png-disguised-rar-injects-payload-into-cvtres-exe/
🕵️♂️ มัลแวร์ Python แฝงตัวในไฟล์ PNG ปลอม เจาะระบบด้วยความแนบเนียน
นักวิจัยด้านความปลอดภัยพบมัลแวร์ใหม่ที่ใช้ภาษา Python ถูกซ่อนอยู่ในไฟล์ RAR ที่ปลอมตัวเป็นไฟล์ PNG เพื่อหลอกให้ผู้ใช้และระบบรักษาความปลอดภัยเชื่อว่าเป็นไฟล์รูปภาพธรรมดา แต่แท้จริงแล้วเป็นกลไกในการปล่อยโค้ดอันตรายเข้าสู่เครื่องคอมพิวเตอร์ โดยมัลแวร์นี้มีการเข้ารหัสหลายชั้นและใช้เทคนิคการปลอมแปลงไฟล์ระบบ Windows เพื่อให้ดูเหมือนถูกต้องตามมาตรฐาน
เมื่อไฟล์ถูกเปิดใช้งาน มัลแวร์จะสร้างโครงสร้างไดเรกทอรีปลอมที่มีไฟล์ชื่อคล้ายกับไฟล์ระบบ เช่น ntoskrnl.exe แต่แท้จริงคือ Python runtime ที่บรรจุ payload อันตรายไว้ภายใน จากนั้นมัลแวร์จะทำการถอดรหัส payload ผ่านหลายขั้นตอน เช่น Base64 → BZ2 → Zlib → marshal.loads ก่อนจะฉีดโค้ดเข้าไปในโปรเซสที่ถูกเซ็นรับรองโดย Microsoft อย่าง cvtres.exe เพื่อให้การทำงานดูเหมือนถูกต้องและยากต่อการตรวจจับ
สิ่งที่น่ากังวลคือ หลังจากมัลแวร์ฝังตัวสำเร็จ มันจะเชื่อมต่อกับเซิร์ฟเวอร์ควบคุม (C2) ผ่านการสื่อสารแบบเข้ารหัส ทำให้ผู้โจมตีสามารถสั่งงานจากระยะไกลได้ เช่น การขโมยไฟล์ การสอดแนมระบบ และการควบคุมเครื่องอย่างต่อเนื่อง แม้โปรเซสหลักจะถูกปิดไปแล้วก็ตาม
จากข้อมูลเพิ่มเติมในวงการไซเบอร์ พบว่าการใช้ไฟล์รูปภาพหรือเอกสารปลอมเพื่อซ่อนมัลแวร์เป็นเทคนิคที่ถูกใช้บ่อยขึ้นในช่วงไม่กี่ปีที่ผ่านมา โดยเฉพาะการโจมตีที่อาศัยความเชื่อใจของผู้ใช้ต่อไฟล์ที่ดู “ปลอดภัย” เช่น PNG, PDF หรือ DOCX ซึ่งทำให้ผู้ใช้ทั่วไปตกเป็นเป้าหมายได้ง่ายขึ้น และเป็นสัญญาณเตือนว่าการตรวจสอบไฟล์ต้องเข้มงวดมากกว่าเดิม
📌 สรุปสาระสำคัญและคำเตือน
✅ เทคนิคการโจมตีที่ใช้ไฟล์ปลอม
➡️ มัลแวร์ถูกซ่อนในไฟล์ RAR ที่ปลอมตัวเป็น PNG
➡️ ใช้ชื่อไฟล์ระบบ Windows ปลอมเพื่อหลอกผู้ใช้
✅ กลไกการทำงานของมัลแวร์
➡️ ถอดรหัส payload หลายชั้น (Base64 → BZ2 → Zlib → marshal.loads)
➡️ ฉีดโค้ดเข้าไปในโปรเซส Microsoft ที่ถูกเซ็นรับรอง (cvtres.exe)
✅ ความสามารถของมัลแวร์
➡️ เชื่อมต่อกับเซิร์ฟเวอร์ควบคุม (C2) ผ่านการเข้ารหัส
➡️ สั่งงานระยะไกล เช่น ขโมยไฟล์และควบคุมเครื่อง
‼️ คำเตือนต่อผู้ใช้ทั่วไป
⛔ ไฟล์ที่ดูปลอดภัย เช่น PNG หรือ PDF อาจซ่อนมัลแวร์ได้
⛔ การเปิดไฟล์จากแหล่งที่ไม่น่าเชื่อถือเสี่ยงต่อการติดเชื้อ
⛔ ต้องใช้ระบบรักษาความปลอดภัยที่สามารถตรวจจับการปลอมแปลงไฟล์ขั้นสูง
https://securityonline.info/extreme-stealth-python-malware-hides-inside-png-disguised-rar-injects-payload-into-cvtres-exe/
0 Comments
0 Shares
47 Views
0 Reviews
Thai