ChrimeraWire Trojan: มัลแวร์ใหม่ที่ปลอมพฤติกรรมการค้นหาใน Chrome
นักวิจัยจาก Doctor Web ได้ค้นพบมัลแวร์ใหม่ชื่อ ChrimeraWire ซึ่งมีเป้าหมายหลักไม่ใช่การขโมยข้อมูลหรือเข้ารหัสไฟล์ แต่เป็นการ ปลอมพฤติกรรมการค้นหาและการคลิกใน Google Chrome เพื่อดันอันดับเว็บไซต์ในผลการค้นหา (SEO manipulation) โดยทำให้เหมือนกับว่ามีผู้ใช้จริงกำลังค้นหาและคลิกเข้าไปในเว็บไซต์เป้าหมาย
วิธีการทำงานของ ChrimeraWire
มัลแวร์จะถูกติดตั้งผ่าน infection chain หลายชั้น โดยเริ่มจาก downloader trojan ที่ตรวจสอบสภาพแวดล้อม หากพบว่าเป็นเครื่องจริงจะดาวน์โหลดสคริปต์ Python และ DLL อันตราย
ใช้เทคนิค DLL hijacking และ privilege escalation เพื่อให้ได้สิทธิ์ระดับสูง
ดาวน์โหลด Chrome เวอร์ชันพิเศษจากเซิร์ฟเวอร์ที่กำหนด และติดตั้ง extensions เพื่อหลบเลี่ยง CAPTCHA
เปิด Chrome ในโหมดซ่อน (hidden window) และเชื่อมต่อกับ C2 server ผ่าน WebSocket เพื่อรับคำสั่ง เช่น คำค้นหา, เว็บไซต์ที่จะคลิก, จำนวนครั้ง และระยะเวลาพักระหว่างการคลิก
เป้าหมายและความสามารถเพิ่มเติม
ChrimeraWire ถูกใช้เพื่อสร้าง ทราฟฟิกปลอม ให้กับเว็บไซต์ที่ต้องการเพิ่มอันดับ SEO โดยใช้พฤติกรรมที่ดูเหมือนมนุษย์จริง เช่น การคลิกแบบสุ่ม, การหยุดพักระหว่างการใช้งาน, และการสลับลำดับลิงก์ เพื่อหลบเลี่ยงระบบตรวจจับบอท นอกจากนี้ยังมีฟังก์ชันเสริม เช่น การอ่านเนื้อหาเว็บ, การถ่ายภาพหน้าจอ, และการกรอกฟอร์ม ซึ่งแม้ยังไม่ถูกใช้งานเต็มที่ แต่มีศักยภาพที่จะถูกนำไปใช้ในอนาคต
ความเสี่ยงและคำแนะนำ
แม้เป้าหมายหลักคือการดันอันดับเว็บไซต์ แต่โครงสร้างของ ChrimeraWire เปิดโอกาสให้ถูกปรับใช้ในรูปแบบอื่น เช่น การเก็บข้อมูล, การทำฟิชชิ่ง หรือการโจมตีอัตโนมัติในวงกว้าง องค์กรและผู้ใช้ควรตรวจสอบสัญญาณผิดปกติ เช่น Chrome ที่รันโดยไม่มีการเปิดหน้าต่าง, scheduled tasks ที่เชื่อมโยงกับ Python หรือ Chrome, และการดาวน์โหลดที่เกี่ยวข้องกับ PowerShell
สรุปประเด็นสำคัญ
การค้นพบ ChrimeraWire
มัลแวร์ใหม่ที่ปลอมพฤติกรรมการค้นหาใน Chrome
ใช้ infection chain หลายชั้นก่อนติดตั้ง
วิธีการทำงาน
ใช้ DLL hijacking และ privilege escalation
ดาวน์โหลด Chrome พิเศษพร้อม extensions หลบ CAPTCHA
รับคำสั่งจาก C2 server ผ่าน WebSocket
เป้าหมายหลัก
สร้างทราฟฟิกปลอมเพื่อดันอันดับ SEO
ใช้พฤติกรรมคลิกที่ดูเหมือนมนุษย์จริง
ความเสี่ยงต่อผู้ใช้และองค์กร
อาจถูกปรับใช้เพื่อเก็บข้อมูลหรือทำฟิชชิ่ง
ตรวจสอบ Chrome ที่รันแบบซ่อนและ scheduled tasks ที่ผิดปกติ
https://hackread.com/chrimerawire-trojan-fakes-chrome-search-activity/
นักวิจัยจาก Doctor Web ได้ค้นพบมัลแวร์ใหม่ชื่อ ChrimeraWire ซึ่งมีเป้าหมายหลักไม่ใช่การขโมยข้อมูลหรือเข้ารหัสไฟล์ แต่เป็นการ ปลอมพฤติกรรมการค้นหาและการคลิกใน Google Chrome เพื่อดันอันดับเว็บไซต์ในผลการค้นหา (SEO manipulation) โดยทำให้เหมือนกับว่ามีผู้ใช้จริงกำลังค้นหาและคลิกเข้าไปในเว็บไซต์เป้าหมาย
วิธีการทำงานของ ChrimeraWire
มัลแวร์จะถูกติดตั้งผ่าน infection chain หลายชั้น โดยเริ่มจาก downloader trojan ที่ตรวจสอบสภาพแวดล้อม หากพบว่าเป็นเครื่องจริงจะดาวน์โหลดสคริปต์ Python และ DLL อันตราย
ใช้เทคนิค DLL hijacking และ privilege escalation เพื่อให้ได้สิทธิ์ระดับสูง
ดาวน์โหลด Chrome เวอร์ชันพิเศษจากเซิร์ฟเวอร์ที่กำหนด และติดตั้ง extensions เพื่อหลบเลี่ยง CAPTCHA
เปิด Chrome ในโหมดซ่อน (hidden window) และเชื่อมต่อกับ C2 server ผ่าน WebSocket เพื่อรับคำสั่ง เช่น คำค้นหา, เว็บไซต์ที่จะคลิก, จำนวนครั้ง และระยะเวลาพักระหว่างการคลิก
เป้าหมายและความสามารถเพิ่มเติม
ChrimeraWire ถูกใช้เพื่อสร้าง ทราฟฟิกปลอม ให้กับเว็บไซต์ที่ต้องการเพิ่มอันดับ SEO โดยใช้พฤติกรรมที่ดูเหมือนมนุษย์จริง เช่น การคลิกแบบสุ่ม, การหยุดพักระหว่างการใช้งาน, และการสลับลำดับลิงก์ เพื่อหลบเลี่ยงระบบตรวจจับบอท นอกจากนี้ยังมีฟังก์ชันเสริม เช่น การอ่านเนื้อหาเว็บ, การถ่ายภาพหน้าจอ, และการกรอกฟอร์ม ซึ่งแม้ยังไม่ถูกใช้งานเต็มที่ แต่มีศักยภาพที่จะถูกนำไปใช้ในอนาคต
ความเสี่ยงและคำแนะนำ
แม้เป้าหมายหลักคือการดันอันดับเว็บไซต์ แต่โครงสร้างของ ChrimeraWire เปิดโอกาสให้ถูกปรับใช้ในรูปแบบอื่น เช่น การเก็บข้อมูล, การทำฟิชชิ่ง หรือการโจมตีอัตโนมัติในวงกว้าง องค์กรและผู้ใช้ควรตรวจสอบสัญญาณผิดปกติ เช่น Chrome ที่รันโดยไม่มีการเปิดหน้าต่าง, scheduled tasks ที่เชื่อมโยงกับ Python หรือ Chrome, และการดาวน์โหลดที่เกี่ยวข้องกับ PowerShell
สรุปประเด็นสำคัญ
การค้นพบ ChrimeraWire
มัลแวร์ใหม่ที่ปลอมพฤติกรรมการค้นหาใน Chrome
ใช้ infection chain หลายชั้นก่อนติดตั้ง
วิธีการทำงาน
ใช้ DLL hijacking และ privilege escalation
ดาวน์โหลด Chrome พิเศษพร้อม extensions หลบ CAPTCHA
รับคำสั่งจาก C2 server ผ่าน WebSocket
เป้าหมายหลัก
สร้างทราฟฟิกปลอมเพื่อดันอันดับ SEO
ใช้พฤติกรรมคลิกที่ดูเหมือนมนุษย์จริง
ความเสี่ยงต่อผู้ใช้และองค์กร
อาจถูกปรับใช้เพื่อเก็บข้อมูลหรือทำฟิชชิ่ง
ตรวจสอบ Chrome ที่รันแบบซ่อนและ scheduled tasks ที่ผิดปกติ
https://hackread.com/chrimerawire-trojan-fakes-chrome-search-activity/
🕵️♂️ ChrimeraWire Trojan: มัลแวร์ใหม่ที่ปลอมพฤติกรรมการค้นหาใน Chrome
นักวิจัยจาก Doctor Web ได้ค้นพบมัลแวร์ใหม่ชื่อ ChrimeraWire ซึ่งมีเป้าหมายหลักไม่ใช่การขโมยข้อมูลหรือเข้ารหัสไฟล์ แต่เป็นการ ปลอมพฤติกรรมการค้นหาและการคลิกใน Google Chrome เพื่อดันอันดับเว็บไซต์ในผลการค้นหา (SEO manipulation) โดยทำให้เหมือนกับว่ามีผู้ใช้จริงกำลังค้นหาและคลิกเข้าไปในเว็บไซต์เป้าหมาย
⚡ วิธีการทำงานของ ChrimeraWire
🐞 มัลแวร์จะถูกติดตั้งผ่าน infection chain หลายชั้น โดยเริ่มจาก downloader trojan ที่ตรวจสอบสภาพแวดล้อม หากพบว่าเป็นเครื่องจริงจะดาวน์โหลดสคริปต์ Python และ DLL อันตราย
🐞 ใช้เทคนิค DLL hijacking และ privilege escalation เพื่อให้ได้สิทธิ์ระดับสูง
🐞 ดาวน์โหลด Chrome เวอร์ชันพิเศษจากเซิร์ฟเวอร์ที่กำหนด และติดตั้ง extensions เพื่อหลบเลี่ยง CAPTCHA
🐞 เปิด Chrome ในโหมดซ่อน (hidden window) และเชื่อมต่อกับ C2 server ผ่าน WebSocket เพื่อรับคำสั่ง เช่น คำค้นหา, เว็บไซต์ที่จะคลิก, จำนวนครั้ง และระยะเวลาพักระหว่างการคลิก
🎯 เป้าหมายและความสามารถเพิ่มเติม
ChrimeraWire ถูกใช้เพื่อสร้าง ทราฟฟิกปลอม ให้กับเว็บไซต์ที่ต้องการเพิ่มอันดับ SEO โดยใช้พฤติกรรมที่ดูเหมือนมนุษย์จริง เช่น การคลิกแบบสุ่ม, การหยุดพักระหว่างการใช้งาน, และการสลับลำดับลิงก์ เพื่อหลบเลี่ยงระบบตรวจจับบอท นอกจากนี้ยังมีฟังก์ชันเสริม เช่น การอ่านเนื้อหาเว็บ, การถ่ายภาพหน้าจอ, และการกรอกฟอร์ม ซึ่งแม้ยังไม่ถูกใช้งานเต็มที่ แต่มีศักยภาพที่จะถูกนำไปใช้ในอนาคต
⚠️ ความเสี่ยงและคำแนะนำ
แม้เป้าหมายหลักคือการดันอันดับเว็บไซต์ แต่โครงสร้างของ ChrimeraWire เปิดโอกาสให้ถูกปรับใช้ในรูปแบบอื่น เช่น การเก็บข้อมูล, การทำฟิชชิ่ง หรือการโจมตีอัตโนมัติในวงกว้าง องค์กรและผู้ใช้ควรตรวจสอบสัญญาณผิดปกติ เช่น Chrome ที่รันโดยไม่มีการเปิดหน้าต่าง, scheduled tasks ที่เชื่อมโยงกับ Python หรือ Chrome, และการดาวน์โหลดที่เกี่ยวข้องกับ PowerShell
📌 สรุปประเด็นสำคัญ
✅ การค้นพบ ChrimeraWire
➡️ มัลแวร์ใหม่ที่ปลอมพฤติกรรมการค้นหาใน Chrome
➡️ ใช้ infection chain หลายชั้นก่อนติดตั้ง
✅ วิธีการทำงาน
➡️ ใช้ DLL hijacking และ privilege escalation
➡️ ดาวน์โหลด Chrome พิเศษพร้อม extensions หลบ CAPTCHA
➡️ รับคำสั่งจาก C2 server ผ่าน WebSocket
✅ เป้าหมายหลัก
➡️ สร้างทราฟฟิกปลอมเพื่อดันอันดับ SEO
➡️ ใช้พฤติกรรมคลิกที่ดูเหมือนมนุษย์จริง
‼️ ความเสี่ยงต่อผู้ใช้และองค์กร
⛔ อาจถูกปรับใช้เพื่อเก็บข้อมูลหรือทำฟิชชิ่ง
⛔ ตรวจสอบ Chrome ที่รันแบบซ่อนและ scheduled tasks ที่ผิดปกติ
https://hackread.com/chrimerawire-trojan-fakes-chrome-search-activity/
0 ความคิดเห็น
0 การแบ่งปัน
8 มุมมอง
0 รีวิว
English