Clear
Lead Graphic Papers

ระวังภัย มัลแวร์ GameOver มีผู้ใช้ในประเทศไทยตกเป็นเหยื่อแล้วกว่าสามพันสี่ร้อยราย

วันที่ประกาศ: 5 มิถุนายน 2557
เรื่อง: ระวังภัย มัลแวร์ GameOver มีผู้ใช้ในประเทศตกเป็นเหยื่อแล้วกว่าสามพันสี่ร้อยราย

ประเภทภัยคุกคาม: Malicious Code

Share on Facebook Share on Twitter Share on Facebook

ข้อมูลทั่วไป

เมื่อวันที่ 2 มิถุนายน 2557 กระทรวงยุติธรรม ประเทศสหรัฐอเมริกา ได้ประกาศผ่านเว็บไซต์ว่า มีการเข้ายึดเครื่องคอมพิวเตอร์ C&C ของมัลแวร์ประเภทบอทเน็ตที่ชื่อ GameOver โดยความร่วมมือของ FBI, Europol, National Crime Agency ประเทศอังกฤษ รวมถึงบริษัทด้าน IT Security อย่าง Symantec, Trend Micro, McAfee และหน่วยงานอื่นๆ ในปฏิบัติการชื่อ Tovar [1]

GameOver เป็นมัลแวร์สายพันธุ์ตระกูลเดียวกับมัลแวร์ Zeus มีจุดประสงค์เพื่อขโมยข้อมูลสำคัญที่เกี่ยวกับการทำธุรกรรมออนไลน์[1] และมีความสามารถดาวน์โหลดมัลแวร์อื่นๆ เข้ามาในเครื่องได้อีก โดยข้อมูลจากบางแหล่งข่าว เช่น KrebsonSecurity [2] และ Nakedsecurity [3] ระบุว่า GameOver มีการดาวน์โหลดมัลแวร์ CryptoLocker มาติดในเครื่องของเหยื่อด้วย ซึ่งไทยเซิร์ตได้เคยเผยแพร่บทความเกี่ยวกับมัลแวร์ CryptoLocker นี้มาแล้ว[4]

การแพร่ระบาดของมัลแวร์ GameOver นั้นมีหลายรูปแบบเช่น วิธีการ Social Engineering หรืออาศัยช่องโหว่ของซอฟต์แวร์ โดยรายงานในปี พ.ศ. 2555 ของ Dell SecureWorks ระบุว่าได้พบการระบาดของมัลแวร์ดังกล่าวผ่านการส่งสแปม [5]

จากปฏิบัติการ Tovar ดังกล่าว ไทยเซิร์ตได้รับข้อมูลจาก US-CERT ซึ่งเป็นหน่วยงาน CSIRT ระดับประเทศของสหรัฐ รายงานว่ามีเครื่องคอมพิวเตอร์ในประเทศไทยจำนวนไม่ต่ำกว่า 3,400 เครื่องที่ติดมัลแวร์ GameOver และพยายามติดต่อกับไปยัง C&C ที่ถูกควบคุมไว้โดยเจ้าหน้าที่ของสหรัฐ ซึ่งไทยเซิร์ตได้ประสานงานไปยัง ISP เพื่อให้ดำเนินการต่อไปเป็นที่เรียบร้อยแล้ว

ถึงแม้ว่าเครื่องคอมพิวเตอร์ C&C จะถูกควบคุมไว้ได้แล้ว แต่ก็ยังไม่สามารถแน่ใจได้ว่า มัลแวร์ที่ไม่ได้รับคำสั่งจาก C&C จะยังสามารถแสดงพฤติกรรมที่ไม่พึงประสงค์ ทำให้เกิดอันตรายแก่ผู้ที่ตกเป็นเหยื่อได้อีกหรือไม่ ผู้สงสัยว่าจะตกเป็นเหยื่อของมัลแวร์จึงควรตรวจสอบและกำจัดมัลแวร์โดยเร็วที่สุด

ผลกระทบ

เครื่องคอมพิวเตอร์ที่ติดมัลแวร์ GameOver อาจถูกขโมยข้อมูลสำคัญต่างๆที่เกี่ยวกับธุรกรรมออนไลน์ เช่น รหัสผ่าน ข้อมูลดังกล่าวอาจถูกนำไปใช้โดยผู้ไม่ประสงค์ดีและนำไปสู่การขโมยเงินจากบัญชีธนาคารภายหลังและอาจถูกติดตั้งมัลแวร์ CryptoLocker ที่สามารถเข้ารหัสลับข้อมูลไม่ว่าจะเป็นไฟล์เอกสาร รูปภาพ และไฟล์ประเภทอื่นๆ ในเครื่องคอมพิวเตอร์ของเหยื่อ ทำให้ไม่สามารถใช้งานไฟล์ข้อมูลดังกล่าวได้

ระบบที่ได้รับผลกระทบ

ผู้ที่สงสัยว่าตกเป็นเหยื่อของมัลแวร์ GameOver และ/หรือ มัลแวร์ CryptoLocker บนระบบปฏิบัติการ Windows

ข้อแนะนำในการป้องกันและแก้ไข

1. ติดตั้งโปรแกรมแอนตี้ไวรัสที่ถูกลิขสิทธิ์ และอัพเดตฐานข้อมูลของโปรแกรมแอนตี้ไวรัสอย่างสม่ำเสมอ เพื่อช่วยให้สามารถตรวจจับและป้องกันมัลแวร์ใหม่ๆ ได้

2. หากสงสัยว่าจะตกเป็นเหยื่อของมัลแวร์นี้ หรือมัลแวร์อื่นๆ ที่อยู่ในกลุ่ม Zeus ผู้ใช้งานควรเปลี่ยนรหัสผ่านในบัญชีต่างๆ ทันที เนื่องจากมีความเป็นไปได้ว่ารหัสผ่านอาจถูกขโมยโดยมัลแวร์ในเครื่องคอมพิวเตอร์

3. ควรตรวจสอบช่องโหว่ต่างๆของซอฟต์แวร์ที่ใช้งาน กับบริษัทผู้ผลิต หรือจากแหล่งข้อมูลทางด้าน Security ที่น่าเชื่อถืออยู่เสมอ และดำเนินการปรับปรุงซอฟต์แวร์ตามข้อแนะนำเพื่อแก้ไขช่องโหว่ที่ในทันที

4. สำหรับมัลแวร์ GameOver ผู้ใช้งานสามารถใช้โปรแกรมเพื่อกำจัดมัลแวร์ ที่ทาง US-CERT ได้แนะนำ [6] โดยมีรายละเอียดดังนี้

F-Secure

http://www.f-secure.com/en/web/home_global/online-scanner (WindowsVista, 7 and 8)

http://www.f-secure.com/en/web/labs_global/removal-tools/-/carousel/view/142 (Windows XP)

Heimdal

http://goz.heimdalsecurity.com (Microsoft Windows XP, Vista, 7, 8 and 8.1)

Microsoft

http://www.microsoft.com/security/scanner/en-us/default.aspx (Windows 8.1, Windows 8, Windows 7, Windows Vista, and Windows XP)

Sophos

http://www.sophos.com/VirusRemoval (Windows XP (SP2) and above)

Symantec

http://www.symantec.com/connect/blogs/international-takedown-wounds-gameover-zeus-cybercrime-network (Windows XP, Windows Vista and Windows 7)

Trend Micro

http://www.trendmicro.com/threatdetector (Windows XP, Windows Vista, Windows 7, Windows 8/8.1, Windows Server 2003, Windows Server 2008, and Windows Server 2008 R2)

5. สำหรับเครื่องคอมพิวเตอร์ที่ติด CryptoLocker สามารถศึกษาวิธีการป้องกันและแก้ไขได้ที่ https://www.thaicert.or.th/papers/technical/2013/pa2013te011.html

อ้างอิง

  1. http://www.justice.gov/opa/pr/2014/June/14-crm-584.html
  2. http://krebsonsecurity.com/2014/06/operation-tovar-targets-gameover-zeus-botnet-cryptolocker-scourge/
  3. http://nakedsecurity.sophos.com
  4. https://www.thaicert.or.th/papers/technical/2013/pa2013te011.html
  5. http://www.secureworks.com/cyber-threat-intelligence/threats/The_Lifecycle_of_Peer_to_Peer_Gameover_ZeuS/
  6. https://www.us-cert.gov/ncas/alerts/TA14-150A
Clear