Pokemon GO

    Pokemon GO

 แฮกเกอร์ได้ทีเตรียมที่จะใช้ประโยชน์จากของ เกมดัง  โปเกมอน โก (Pokemon GO) เพื่อแพร่กระจายมัลแวร์เรียกค่าไถ่ (Ransomware)โดยโจมตีผู้ใช้ระบบปฎิบัติการ Windows เพื่อเรียกค่าไถ่

หาช่องโหว่จากวิธีการเล่น

โดยเทรนด์ไมโครได้ตรวจพบมัลแวร์ชนิดนี้มีชื่อว่า Ransom_POGOTEAR.A มีลักษณะคล้ายคลึงกับมัลแวร์เรียกค่าไถ่อื่นๆ  อย่างไรก็ตาม หลังจากที่ตรวจสอบอย่างละเอียด พบว่าผู้สร้างพัฒนาต่อยอดจาก Hidden Tear ซึ่งเป็นมัลแวร์เรียกค่าไถ่แบบโอเพ่นซอร์สที่ถูกเผยแพร่เมื่อเดือนสิงหาคม ปีที่แล้ว โดยมีจุดมุ่งหมายเพื่อให้ความรู้แก่บุคคลทั่วไป

RanSom_Pogotea

      มัลแวร์เรียกค่าไถ่ โปเกมอน โก ได้รับการออกแบบให้สร้างบัญชีผู้ใช้ที่เป็นช่องโหว่ภายใต้ชื่อ “Hack3r” ในระบบปฏิบัติการ Windows และถูกเพิ่มไปยังกลุ่มผู้ดูแลระบบ (Administrator) นอกจากนี้ ยังมีการปรับเปลี่ยนการลงทะเบียน (registry) เพื่อซ่อนบัญชี Hack3r จากหน้าจอล็อกอินของ Windows

และยังมีอีกฟีเจอร์ที่สร้างการใช้งานเครือข่ายร่วมกันบนคอมพิวเตอร์ของเหยื่อ เพื่อให้มัลแวร์เรียกค่าไถ่สามารถแพร่กระจาย ด้วยการคัดลอกไฟล์มัลแวร์ไปยังไดรฟ์ทั้งหมด และเมื่อไฟล์มัลแวร์ถูกคัดลอกไปยังไดรฟ์ที่ถอดออกได้ ก็จะสร้างไฟล์รันอัตโนมัติ (AutoRun) เพื่อให้มัลแวร์ทำงานทุกครั้งที่มีใครบางคนเข้าถึงไดรฟ์ที่ถอดออกได้

นอกจากนี้ไฟล์มัลแวร์ยังถูกคัดลอกไปยังส่วนรูท (Root) ของไดรฟ์แบบติดตั้งถาวรอื่นๆ  วิธีนี้จะทำให้มัลแวร์เรียกค่าไถ่ โปเกมอน โก  เริ่มทำงานเมื่อเหยื่อล็อกอินเข้าสู่ Windows

TrendLabs

001

Information Theft

น่ารักแต่ร้ายกาจ

     ซึ่งมีตัวบ่งชี้มากมายที่ทำให้ทราบว่ามัลแวร์เรียกค่าไถ่ดังกล่าวยังคงอยู่ระหว่างการพัฒนา เช่น มีการใช้คีย์เข้ารหัส AES แบบคงที่ “123vivalalgerie” นอกจากนี้ เซิร์ฟเวอร์สั่งการและควบคุม (C&C) ใช้ไอพีแอดเดรสแบบส่วนตัว

     นั่นหมายความว่ามัลแวร์ไม่สามารถเชื่อมต่อผ่านอินเทอร์เน็ตได้ จากภาษาที่ใช้ในข้อความเรียกค่าไถ่ เชื่อว่ามัลแวร์ โปเกมอน โก  น่าจะพุ่งเป้าหมายไปที่ผู้ใช้ที่พูดภาษาอาหรับ โดยหน้าจอเรียกค่าไถ่ที่แนบมาเป็นรูปตัวการ์ตูนปิกาจู (Pikachu) ที่ดูน่ารัก แต่หมายถึงว่าคุณเสร็จเจ้าตัวเหลืองปล่อยกระแสไฟนี้แล้ว

     นอกจากนั้น ไฟล์สกรีนเซฟเวอร์ยังประกอบด้วยรูปภาพที่มีข้อความว่า “Sans Titre” ซึ่งเป็นภาษาฝรั่งเศสที่ตรงกับคำว่า “Untitled” นับเป็นเบาะแสหนึ่งที่บ่งบอกถึงแหล่งที่มาของผู้พัฒนา

หน้าจอเรียกค่าไถ่ที่แนบมาเป็นรูปตัวการ์ตูนปิกาจู (Pikachu)

It locks the screen with the following image

     มัลแวร์เรียกค่าไถ่ Hidden Tear ไม่ใช่สิ่งใหม่ โดยเมื่อเดือนมกราคม 2558 เทรนด์ไมโครได้ตรวจพบเว็บไซต์ที่ถูกแฮ็กในประเทศปารากวัย ซึ่งแพร่กระจายมัลแวร์เรียกค่าไถ่ที่มีชื่อว่า “RANSOM_CRYPTEAR.B” ทั้งนี้ ข้อมูลวิเคราะห์ชี้ว่า เว็บไซต์ดังกล่าวถูกเจาะระบบโดยแฮ็กเกอร์ชาวบราซิล

    ซึ่งมัลแวร์เรียกค่าไถ่ดังกล่าวถูกสร้างขึ้นโดยใช้โค้ด Hidden Tear ที่มีการดัดแปลง ก่อนหน้าที่จะมีการตรวจพบ เมื่อซอร์สโค้ดของ Hidden Tear ถูกเผยแพร่แก่สาธารณชนเพื่อจุดประสงค์ด้านการให้ความรู้ ผู้สร้างได้ระบุอย่างชัดเจนว่าไม่ควรนำเอา Hidden Tear ไปใช้เป็นมัลแวร์เรียกค่าไถ่

    แต่ปรากฏว่า การค้นพบมัลแวร์ Ransom_CRYPTEAR.B และ โปเกมอน โก  นี้แสดงให้เห็นว่า ถึงแม้จะมีเจตนาที่ดี แต่การเปิดเผยข้อมูลสำคัญในลักษณะที่ไม่เหมาะสมอาจก่อให้เกิดปัญหาในบางสถานการณ์ดังเช่นที่กล่าวมาแล้ว

RanSom_Pogotea B

มั่นสร้างข้อมูลสำรองสม่ำเสมอ
เพื่อหลีกเลี่ยงปัญหาจากมัลแวร์เรียกค่าไถ่ ผู้ใช้ควรแบ็คอัพข้อมูลอย่างสม่ำเสมอ และติดตั้งโซลูชั่นการรักษาความปลอดภัยที่ทันสมัย โซลูชั่นของเทรนด์ไมโครสามารถปกป้องผู้ใช้จากมัลแวร์เรียกค่าไถ่ โปเกมอน โก

ขณะที่เกมดังกล่าวได้รับการเปิดตัวในประเทศต่างๆ เพิ่มเติม ความคลั่งไคล้ในเกม โปเกมอน โก  จะดึงดูดให้อาชญากรไซเบอร์พยายามมองหาหนทางที่จะใช้ประโยชน์จากเกมดังกล่าวนี้

โดยเพียงแค่ในช่วงเดือนกรกฎาคม มีการตรวจพบแอพ โปเกมอน โก  จำนวนมากที่มีอันตราย ซึ่งหลอกล่อให้ผู้ใช้ดาวน์โหลดแอพเข้าสู่อุปกรณ์ สถานการณ์ดังกล่าวนับเป็นเครื่องเตือนภัยว่าผู้ใช้ควรระมัดระวังภัยคุกคามที่อาจมาพร้อมกับเกมยอดนิยม