โผล่มาอีก 1 ตัว สำหรับมัลแวร์ตัวใหม่ในช่วงนี้ โดยมัลแวร์ตัวนี้เน้นโจมตีระบบของธนาคาร ผู้ให้บริการบัตรเครดิต และสถาบันการเงินต่างๆ ที่น่าสนใจ คือ มัลแวร์นี้จะถูกโหลดตั้งแต่ก่อนที่ระบบปฏิบัติการจะเริ่มทำงาน ส่งให้ผลยากต่อการตรวจจับและกำจัดมัลแวร์ออกไป FireEye (
https://www.fireeye.com) ขนานนามมัลแวร์นี้ว่า Nemesis
Nemesis เป็นชุดรวมมัลแวร์ที่ประกอบด้วยซอฟต์แวร์สำหรับโจมตีระบบมากมาย เช่น แอบถ่ายรูปหน้าจอ รับส่งไฟล์ข้อมูล จัดการ Process ทำ Key Logging และอื่นๆ
Credit: ShutterStock.com
ตรวจจับได้ยาก ลบทิ้งก็กลับมาใหม่
Nemesis ได้เริ่มแพร่กระจายตัวโจมตีระบบต่างๆตั้งแต่ต้นปีที่ผ่านมา โดยมีคุณสมบัติเด่นคือ สามารถแก้ไข VBR (Volume Boot Record) ของอุปกรณ์คอมพิวเตอร์ได้ ส่งผลให้ขั้นตอนการบูทแทนที่จะโหลดเฉพาะระบบปฏิบัติการ Windows ขึ้นมาเพียงอย่างเดียว มัลแวร์ที่แฝงตัวอยู่ใน VBR จะถูกโหลดเข้า Windows Kernel ก่อนที่จะโหลดระบบปฏิบัติการด้วย
เนื่องจากมัลแวร์ไม่ได้ทำงานอยู่บนระบบปฏิบัติการ มันจึงไม่ถูกตรวจจับและจัดการโดยระบบ Integrity Check และโปรแกรมแอนตี้ไวรัส นอกจากนี้ มัลแวร์ดังกล่าวยังฝังตัวอยู่ในระดับล่างของฮาร์ดดิสก์ ต่อให้ฟอร์แมทเครื่องหรือลงระบบปฏิบัติการใหม่ มัลแวร์ก็ยังคงกลับมาได้เหมือนเดิม
เชื่อเป็นฝีมือแฮ็คเกอร์ชาวรัสเซียที่เรียกว่า FIN1
FireEye เชื่อว่าผู้ที่อยู่เบื้องหลังจากมัลแวร์ Nemesis นี้ คือ กลุ่มแฮ็คเกอร์ชาวรัสเซียที่ถูกเรียกว่า FIN1 โดยแฮ็คเกอร์กลุ่มนี้จะใช้มัลแวร์ดังกล่าวในการโจมตีเครื่องเป้าหมายเพื่อขโมยข้อมูลบัตรเครดิต ซึ่งในอดีต FireEye เคยพบเห็นมัลแวร์หน้าตาคล้ายแบบนี้มาแล้วจากกลุ่มแฮ็คเกอร์ดังกล่าว
ป้องกัน Nemesis ได้อย่างไร
ลงระบบปฏิบัติการใหม่ไม่ใช่ทางออกที่ดีพอสำหรับแก้ไขปัญหานี้ ผู้ดูแลระบบควรใช้เครื่องมือที่สามารถตรวจสอบข้อมูลดิบของดิสก์ทั้งหมดได้ รวมทั้งสามารถลบข้อมูลในดิสก์ทั้งหมดได้จริง ไม่ใช่ลบในส่วนของระบบปฏิบัติการ
ที่มา:
http://thehackernews.com/2015/12/nemesis-banking-malware.html
ที่มา2:
https://www.techtalkthai.com/nemesis-bootkit-a-new-banking-malware/
เตือนภัย Nemesis Bootkit มัลแวร์ล่องหน พุ่งเป้าขโมยบัตรเครดิต
โผล่มาอีก 1 ตัว สำหรับมัลแวร์ตัวใหม่ในช่วงนี้ โดยมัลแวร์ตัวนี้เน้นโจมตีระบบของธนาคาร ผู้ให้บริการบัตรเครดิต และสถาบันการเงินต่างๆ ที่น่าสนใจ คือ มัลแวร์นี้จะถูกโหลดตั้งแต่ก่อนที่ระบบปฏิบัติการจะเริ่มทำงาน ส่งให้ผลยากต่อการตรวจจับและกำจัดมัลแวร์ออกไป FireEye (https://www.fireeye.com) ขนานนามมัลแวร์นี้ว่า Nemesis
Nemesis เป็นชุดรวมมัลแวร์ที่ประกอบด้วยซอฟต์แวร์สำหรับโจมตีระบบมากมาย เช่น แอบถ่ายรูปหน้าจอ รับส่งไฟล์ข้อมูล จัดการ Process ทำ Key Logging และอื่นๆ
Credit: ShutterStock.com
ตรวจจับได้ยาก ลบทิ้งก็กลับมาใหม่
Nemesis ได้เริ่มแพร่กระจายตัวโจมตีระบบต่างๆตั้งแต่ต้นปีที่ผ่านมา โดยมีคุณสมบัติเด่นคือ สามารถแก้ไข VBR (Volume Boot Record) ของอุปกรณ์คอมพิวเตอร์ได้ ส่งผลให้ขั้นตอนการบูทแทนที่จะโหลดเฉพาะระบบปฏิบัติการ Windows ขึ้นมาเพียงอย่างเดียว มัลแวร์ที่แฝงตัวอยู่ใน VBR จะถูกโหลดเข้า Windows Kernel ก่อนที่จะโหลดระบบปฏิบัติการด้วย
เนื่องจากมัลแวร์ไม่ได้ทำงานอยู่บนระบบปฏิบัติการ มันจึงไม่ถูกตรวจจับและจัดการโดยระบบ Integrity Check และโปรแกรมแอนตี้ไวรัส นอกจากนี้ มัลแวร์ดังกล่าวยังฝังตัวอยู่ในระดับล่างของฮาร์ดดิสก์ ต่อให้ฟอร์แมทเครื่องหรือลงระบบปฏิบัติการใหม่ มัลแวร์ก็ยังคงกลับมาได้เหมือนเดิม
เชื่อเป็นฝีมือแฮ็คเกอร์ชาวรัสเซียที่เรียกว่า FIN1
FireEye เชื่อว่าผู้ที่อยู่เบื้องหลังจากมัลแวร์ Nemesis นี้ คือ กลุ่มแฮ็คเกอร์ชาวรัสเซียที่ถูกเรียกว่า FIN1 โดยแฮ็คเกอร์กลุ่มนี้จะใช้มัลแวร์ดังกล่าวในการโจมตีเครื่องเป้าหมายเพื่อขโมยข้อมูลบัตรเครดิต ซึ่งในอดีต FireEye เคยพบเห็นมัลแวร์หน้าตาคล้ายแบบนี้มาแล้วจากกลุ่มแฮ็คเกอร์ดังกล่าว
ป้องกัน Nemesis ได้อย่างไร
ลงระบบปฏิบัติการใหม่ไม่ใช่ทางออกที่ดีพอสำหรับแก้ไขปัญหานี้ ผู้ดูแลระบบควรใช้เครื่องมือที่สามารถตรวจสอบข้อมูลดิบของดิสก์ทั้งหมดได้ รวมทั้งสามารถลบข้อมูลในดิสก์ทั้งหมดได้จริง ไม่ใช่ลบในส่วนของระบบปฏิบัติการ
ที่มา: http://thehackernews.com/2015/12/nemesis-banking-malware.html
ที่มา2: https://www.techtalkthai.com/nemesis-bootkit-a-new-banking-malware/