37/69 (IT) ประจำวันพุธที่ 21 มกราคม 2569
นักวิจัยด้านความปลอดภัยไซเบอร์จาก Resecurity ได้ตรวจพบมัลแวร์ใหม่ในชื่อ PDFSider ระหว่างการเข้าตรวจสอบเหตุการณ์ภัยคุกคามในบริษัทการเงินระดับ Fortune 100 โดยมัลแวร์ตัวนี้ถูกใช้โดยกลุ่มผู้ไม่หวังดี (รวมถึงกลุ่มแรนซัมแวร์ Qilin) เพื่อเจาะระบบและฝังตัวในระยะยาว รูปแบบการโจมตีเริ่มจากการใช้เทคนิค Social Engineering ปลอมเป็นฝ่ายสนับสนุนด้านไอที หรือส่งอีเมล Spearphishing หลอกให้พนักงานติดตั้งเครื่องมือ Remote Access หรือเปิดไฟล์อันตราย ซึ่งผู้เชี่ยวชาญระบุว่าพฤติกรรมของมัลแวร์นี้มีความซับซ้อนเทียบเท่ากับเครื่องมือที่ใช้ในการจารกรรมข้อมูลระดับชาติ (APT Tradecraft)
กลไกการทำงานหลักของ PDFSider ใช้เทคนิคที่เรียกว่า DLL Side-loading เพื่อหลบเลี่ยงการตรวจจับ โดยคนร้ายจะส่งไฟล์ ZIP ที่ภายในบรรจุไฟล์ติดตั้งโปรแกรม PDF24 Creator ของจริงที่มีลายเซ็นดิจิทัลถูกต้อง ทำให้ระบบความปลอดภัยมองว่าเป็นไฟล์ที่ปลอดภัย แต่แฮกเกอร์ได้สอดไส้ไฟล์ DLL อันตราย (cryptbase.dll) เข้าไปด้วย เมื่อผู้ใช้รันโปรแกรม PDF24 ตัวโปรแกรมจะเผลอไปเรียกใช้งาน DLL ของคนร้ายแทน ทำให้แฮกเกอร์สามารถรันคำสั่งที่เป็นอันตราย ในหน่วยความจำของเครื่องได้ทันทีโดยแทบไม่ทิ้งร่องรอยไฟล์ไว้บนฮาร์ดดิสก์
ความน่ากลัวของ PDFSider คือความสามารถในการหลบซ่อนและป้องกันตัวเอง โดยมัลแวร์จะตรวจสอบว่ากำลังรันอยู่บน Sandbox หรือ Virtual Machine หรือไม่ หากตรวจพบจะหยุดทำงานทันทีเพื่อไม่ให้นักวิจัยแกะรอยได้ นอกจากนี้ การสื่อสารกลับไปยังเครื่องเซิร์ฟเวอร์ควบคุม (C2) ยังทำผ่านพอร์ต 53 (DNS) และมีการเข้ารหัสข้อมูลขั้นสูงด้วย AES-256-GCM เพื่อรักษาความลับของข้อมูลที่ขโมยออกไป การค้นพบนี้ชี้ให้เห็นว่าอาชญากรไซเบอร์เริ่มนำเครื่องมือระดับสูงมาใช้ในการโจมตีเพื่อเรียกค่าไถ่และการจารกรรมข้อมูลมากขึ้น
แหล่งข่าว https://dg.th/t8onpd42ua
