มีการพบมัลแวร์ XENOMORPH กลับมาอีกครั้งหลังจากหายไปหลายเดือน

429/66 (IT) ประจำวันพุธที่ 27 กันยายน 2566

นักวิจัยจาก ThreatFabric ค้นพบแคมเปญใหม่ที่แพร่กระจาย มัลแวร์ Xenomorphไปยังผู้ใช้ Android ในสหรัฐอเมริกา สเปน โปรตุเกส อิตาลี แคนาดา และเบลเยียม

โดยนักวิจัยจาก ThreatFabric ได้ตรวจพบมัลแวร์ Xenomorph เป็นครั้งแรก ในเดือนกุมภาพันธ์ 2022 ซึ่งเผยแพร่ผ่านทาง Google Play Store ซึ่งมีการติดตั้งไปแล้วมากกว่า 50,000 ครั้ง โดยผู้เชี่ยวชาญสังเกตเห็นว่ามัลแวร์ Xenomorph ได้รับการปรับปรุงอย่างต่อเนื่องในช่วงปี 2022 และเผยแพร่เป็นแคมเปญขนาดเล็ก กลุ่มภัยคุกคามได้แพร่กระจายมัลแวร์ เป็นครั้งแรกผ่านการดำเนินการ GymDrop ต่อมาโค้ดที่เป็นอันตรายก็ถูกเผยแพร่ผ่านการดำเนินการ Zombinder ด้วยเช่นกัน และในเดือนมีนาคม ผู้เชี่ยวชาญได้เตือนถึงตัวแปรใหม่ในชื่อ Xenomorph.C ที่ได้รับการปรับปรุงอย่างมีนัยสำคัญ ตัวแปรใหม่รองรับกรอบการทำงานระบบการโอนเงินอัตโนมัติ (ATS) ใหม่ และสามารถกำหนดเป้าหมายไปยังธนาคารและสถาบันการเงินได้มากกว่า 400 แห่ง ส่วนใหญ่มาจากสเปน ตุรกี โปแลนด์ สหรัฐอเมริกา ออสเตรเลีย แคนาดา อิตาลี โปรตุเกส ฝรั่งเศส เยอรมนี สหรัฐอาหรับเอมิเรตส์ และอินเดีย อย่างไรก็ตาม แคมเปญล่าสุดนี้ยังได้เพิ่มสถาบันการเงินจำนวนมากจากสหรัฐอเมริกา พร้อมด้วยแอปพลิเคชัน crypto-wallet หลายรายการ รวมเป้าหมายที่แตกต่างกันมากกว่า 100 รายการต่อตัวอย่าง โดยแต่ละแห่งใช้โอเวอร์เลย์ที่สร้างขึ้นมาโดยเฉพาะเพื่อขโมย PII อันมีค่าจากอุปกรณ์ที่ติดไวรัสของเหยื่อ โดย ThreatFabric สามารถระบุแคมเปญที่ใช้งานอยู่ซึ่งกระจายมัลแวร์ผ่านการดำเนินการแบบฟิชชิ่ง โดยมัลแวร์จะถูกแพร่กระจายผ่านหน้าฟิชชิ่งที่ปลอมตัวเป็นการอัปเดต Chrome    

คุณสมบัติใหม่อีกอย่างที่ใช้ในตัวอย่างล่าสุดคือ “ClickOnPoint” ซึ่งช่วยให้มัลแวร์สามารถจำลองการแตะที่พิกัดหน้าจอเฉพาะได้ โดย Xenomorph ยังคงเป็นมัลแวร์ Android Banking ที่อันตรายอย่างยิ่ง โดยมีกลไก ATS ที่หลากหลายและทรงพลัง พร้อมด้วยโมดูลหลายตัวที่สร้างขึ้นแล้ว โดยมีแนวคิดที่จะรองรับอุปกรณ์ของผู้ผลิตหลายราย

แหล่งข่าว https://securityaffairs.com/151443/malware/xenomorph-malware-is-back.html