Clear
Lead Graphic Papers

Zeus Trojan (Zbot) ม้าโทรจันปล้นธนาคารทั่วโลก

ผู้เขียน: ศุภกร ฤกษ์ดิถีพร
วันที่เผยแพร่: 5 พ.ย. 2554
ปรับปรุงล่าสุด: 5 พ.ย. 2554

Zeus (ซุส) หรือที่รู้จักในอีกชื่อหนึ่งคือ Zbot เป็นมัลแวร์ที่โด่งดังในปี 2006 มีแหล่งกำเนิดจากยุโรปตะวันออก ถูกสร้างขึ้นเพื่อเป็นใช้เป็นเครื่องมือสำหรับอาชญากรในการขโมยข้อมูลสำคัญของผู้ใช้งานบริการสถาบันการเงินออนไลน์ ดังแสดงในรูปที่ 1 และ 2 ซุสสามารถแพร่กระจายได้หลายวิธี เช่น แนบไฟล์หรือลิงค์มากับอีเมล ฝังตัวอยู่ในช่องโหว่ของเอกสารประเภท PDF แฝงมากับอุปกรณ์บันทึกข้อมูลภายนอก (External drive) ติดมากับซอฟต์แวร์ละเมิดลิขสิทธิ์ หรือส่งต่อลิงค์ผ่านเครือข่ายสังคมออนไลน์ (Social network) เป็นต้น เมื่อซุสได้ติดตั้งตัวเองลงบนเครื่องคอมพิวเตอร์ของเหยื่อ เครื่องนั้นก็จะกลายเป็น Botnet ของซุสในทันที [1] ทำให้ผู้โจมตีสามารถเข้ามาโจรกรรมข้อมูลสำคัญภายในเครื่องคอมพิวเตอร์ของเหยื่อได้ ไม่ว่าจะหมายเลขบัญชีธนาคาร รหัสผ่าน หรือข้อมูลอื่นๆ [2] นอกจากนี้ ซุสยังพยายามรวบรวมข้อมูลของผู้ใช้งานที่ขโมยมาได้แล้วส่งมาเก็บไว้ที่เซิร์ฟเวอร์ของผู้โจมตี ซุสถูกขายเป็นเครื่องมือในตลาดมืด โดยมีราคาประมาณ 3000-4000 ดอลลาร์สหรัฐ [3]

ซุสมีกระบวนการในการสั่งการและควบคุมระบบ คือ

  1. รอเวลาที่เหยื่อเข้ามาทำรายการธุรกรรมออนไลน์ตามช่องทางของธนาคาร
  2. รายงานการดำเนินการต่างๆ ของเหยื่อไปยังหน่วยสั่งการและควบคุมเซิร์ฟเวอร์ในระบบธนาคาร
  3. หน่วยสั่งการและควบคุมระบบ สั่งการให้ซุสเปลี่ยนแปลงการโอนเงินจากธนาคารของเหยื่อ
  4. ดำเนินการเปลี่ยนแปลงการโอนเงินจากธนาคารของเหยื่อโดยตรวจสอบยอดเงินในบัญชี กำหนดวงเงินใหม่ให้มากที่สุดที่จะขโมยได้โดยไม่เกินวงเงินที่ธนาคารกำหนด จากนั้นจึงโอนเงินไปยังบัญชีเป้าหมายแล้วส่งต่อไปยังบัญชีต่างประเทศของผู้ขโมย
  5. รายงานผลการดำเนินการให้หน่วยสั่งการและควบคุมระบบธนาคารเพื่อให้ทราบว่าสำเร็จหรือล้มเหลว
ตัวอย่างการโจมตี เช่น ผู้ใช้งานต้องการชำระเงิน 100,000 บาทให้กับคนขายบ้าน เมื่อผู้ใช้เข้าสู่ระบบออนไลน์ของธนาคาร ซุสจะเปลี่ยนจำนวนเงินให้เป็นวงเงินสูงสุด เช่น 1,000,000 บาท และเปลี่ยนให้โอนเงินไปที่บัญชีของอาชญากร จากนั้นธนาคารจะแจ้งว่ามีการชำระเงินมาที่เครื่องของเหยื่อ แต่ซุสจะเปลี่ยนแปลงข้อความเหล่านั้นให้กลายเป็นว่าโอนเงิน 100,000 บาทได้สำเร็จ ดังนั้น เหยื่อจะไม่มีทางรู้ตัวเลยว่าเงินนั้นถูกโจรกรรมไปแล้วจนกว่าปลายทาง คือ คนขายบ้านจะแจ้งว่าไม่ได้รับเงิน

zeus1.png

รูปที่ 1 เว็บไซต์ปลอมที่สร้างขึ้นเพื่อหลอกลวงเหยื่อ [4]

zeus2.png

รูปที่ 2 โดเมน .com ที่ตกเป็นเป้าหมายของซุส [5]

จากรายงานการรับแจ้งเหตุภัยคุกคามของศูนย์ประสานงานการรักษาความมั่นคงระบบคอมพิวเตอร์ประเทศไทย (ThaiCERT) ยังคงพบการแพร่กระจายของซุสที่ใช้ในการโจมตีผู้ใช้งานบริการออนไลน์ของสถาบันการเงินทั้งสถาบันการเงินในประเทศและต่างประเทศอยู่อย่างต่อเนื่อง ผู้ใช้งานสามารถปฏิบัติตามแนวปฏิบัติของการใช้งานเครื่องคอมพิวเตอร์อย่างมั่นคงปลอดภัยเพื่อป้องกันตนเองจากภัยคุกคามของซุสได้ดังนี้

  • ติดตั้งซอฟต์แวร์ป้องกันไวรัสและอัพเดทฐานข้อมูลอย่างสม่ำเสมอ เพื่อลดความเสี่ยงของการถูกโจมตีจากโปรแกรมไม่พึงประสงค์ต่างๆ
  • อัพเดทซอฟต์แวร์ระบบปฎิบัติการ (OS) อย่างสม่ำเสมอ เพื่อป้องกันช่องโหว่ที่สาเหตุให้สิ่งที่ไม่พึงประสงค์ใช้เป็นช่องทางเข้ามาแพร่กระจายในเครื่องคอมพิวเตอร์
  • ไม่ควรติดตั้งหรือดาวน์โหลดโปรแกรมจากเว็บไซต์ที่ไม่น่าเชื่อถือหรือแม้แต่การเปิดไฟล์แนบจากอีเเมลที่มีลักษณะผิดปกติ เช่น เป็นอีเมลที่มีข้อความเชิญชวนหรือโฆษณาชวนเชื่อว่าเราเป็นผู้ถูกคัดเลือกให้ ได้รับรางวัลหรือผลประโยชน์ต่างๆ หรือเป็นอีเมลของถูกส่งบุคคลที่เรารู้จักแต่ใช้ภาษาหรือสำนวนที่ต่างจากรูปแบบที่เคยใช้ในอดีต เป็นต้น เนื่องจากอีเมลเหล่านี้มักเป็นรูปแบบของอีเมลที่ใช้ในเผยแพร่โปรแกรมไม่พึงประสงค์
  • ควรตรวจหาโปรแกรมไม่พึงประสงค์ด้วยซอฟต์แวร์ป้องกันไวรัสทุกครั้งก่อนการใช้งานอุปกรณ์บันทึกข้อมูลแบบพกพา เนื่องจากอุปกรณ์เหล่านี้มักถูกใช้เป็นช่องทางในการแพร่กระจายโปรแกรมไม่พึงประสงค์ต่างๆ
  • ในกรณีที่ท่านต้องสงสัยว่าเครื่องคอมพิวเตอร์ของท่านถูกโจมตีจากซุส ท่านสามารถขอรับความคำแนะนำในการแก้ไขได้จากศูนย์ประสานงานการรักษาความมั่นคงระบบคอมพิวเตอร์ประเทศไทย (ThaiCERT)

อ้างอิง

[1] http://searchsecurity.techtarget.com/definition/Zeus-Trojan-Zbot
[2] http://www.pcmag.com/article2/0,2817,2370013,00.asp
[3] http://malwaresurvival.net/2011/01/19/the-zeus-trojan-and-popular-domains/
[4] http://news.cnet.com/8301-27080_3-20013246-245.html
[5] http://www.securelist.com/en/analysis/204792107/ZeuS_on_the_Hunt&usg=ALkJrhiqPrhLMgBX2duUrz84p-JLWjj76Q

Clear