บน Windows ตั้งแต่ Windows 10 เป็นต้นมา ถึงแม้ผู้ใช้งานจะไม่มีการติดตั้งแอนตี้ไวรัสตัวใดไว้เลยก็ตาม ก็ยังคงมี Windows Defender เป็นเครื่องมิอป้องกันภัยแบบพื้นฐาน ติดมากับตัว Windows อยู่แล้ว ด้วยเหตุนี้จึงทำให้ เครื่องมือนี้ตกเป็นเป้าในการถูกปิดการทำงานของแฮกเกอร์เป็นอย่างมาก ดังเช่นในข่าวนี้
จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบแคมเปญการแพร่กระจายมัลแวร์ประเภทเข้าควบคุมระบบจากทางไกล (Remote Access Trojan หรือ RAT) ชื่อ CyberEYE ซึ่งเป็นมัลแวร์ที่มีประสิทธิภาพในการขโมยข้อมูลที่ค่อนข้างสูงจากการที่สามารถขโมยได้มาก และหลากประเภท ไม่ว่าจะเป็น รหัสต่าง ๆ ที่บันทึกไว้บนเว็บเบราว์เซอร์, Session สำหรับเข้าใช้งานแพลตฟอร์มสำหรับเล่นวิดีโอเกมต่าง ๆ (เช่น Steam), ข้อมูลของกระเป๋าเงินคริปโตเคอร์เรนซี ไปจนถึงรหัส Wifi ที่ถูกบันทึกไว้บนเครื่อง โดยข้อมูลเหล่านี้จะถูกส่งกลับไปยังบอทบน Telegram ผ่าน API โดยมัลแวร์มีวิธีในการขโมยข้อมูลที่หลากหลาย ทั้งการเข้าเก็บข้อมูลด้วยวิธีการทั่วไป, การเข้าเก็บข้อมูลและดัดแปลงข้อมูลบน Clipboard ไปจนถึงการตรวจจับการพิมพ์ของเหยื่อ (Keylogging) นอกจากนั้นมัลแวร์ตัวนี้ยังมีความสามารถในการปิดการทำงานของ Windows Defender อีกด้วย
ADVERTISEMENT
บทความเกี่ยวกับ Malware อื่นๆ
เตือนวัยรุ่น! ระวังลิงก์ Invite Discord ปลอม เผลอกดแล้วหลงเชื่อคำสั่ง ติดมัลแวร์แน่นอน
พบมัลแวร์ BrowserVenom แพร่กระจายในกลุ่มผู้ใช้งาน AI ผ่านเว็บ DeepSeek ปลอม
มัลแวร์ Myth Stealer แฝงตัวบนเว็บเกมส์ปลอม เล็งโจมตีผู้ใช้งาน Chrome และ Firefox
ผลวิจัย Malwarebyte พบผู้คนกว่า 44% จากหลากชาติ ตกเป็นเหยื่อการหลอกลวงผ่านทางโทรศัพท์มือถือทุกวัน
ตรวจพบช่องโหว่บน Secure Boot เปิดช่องให้แฮกเกอร์ติดตั้งมัลแวร์แบบ Bootkit ลงบน Windows และเซิร์ฟเวอร์ได้
ภาพจาก: https://www.cyfirma.com/research/understanding-cybereye-rat-builder-capabilities-and-implications/
ซึ่งสำหรับการทำงานในการปิดการทำงานของ Windows Defender นั้น ตัวมัลแวร์จะใช้เทคนิคในการทำงานแบบคู่ขนานเพื่อจัดการกับฟีเจอร์ดังกล่าว ด้วยการทำการแก้ไข Registry ร่วมกับการใช้คำสั่ง PowerShell เพื่อจัดการกับซอฟต์แวร์ตัวนี้ให้อยู่หมัด
ในส่วนของการแก้ไข Registry ของ Windows Defender นั้นเรียกได้ว่าตัวมัลแวร์มีความสามารถในการจัดการได้อย่างละเอียด ด้วยการเข้าไปแก้ไขในส่วนของ SOFTWAREMicrosoftWindows DefenderFeatures โดยทำการปรับค่า TamperProtection ให้เป็น 0 เพื่อให้สามารถทำการ Tamper (เปลี่ยนแปลงค่าต่าง ๆ โดยไม่ได้รับอนุญาต) ได้ หลังจากนั้นจึงทำการตั้งค่าปิดระบบต่อต้านสปายแวร์ ด้วยการตั้งค่า DisableAntiSpyware ที่อยู่ใน SOFTWAREPoliciesMicrosoftWindows Defender ให้เป็น 1 แล้วตามมาด้วยการปิดการตรวจจับแบบตามเวลาจริง หรือ Real-Time Protection ต่าง ๆ ด้วยการตั้งค่า DisableBehaviorMonitoring, DisableOnAccessProtection, และ DisableScanOnRealtimeEnable ที่อยู่ภายใน SOFTWAREPoliciesMicrosoftWindows DefenderReal-Time Protection ให้เป็น 1 ทั้งหมด
และในส่วนของการใช้คำสั่ง PowerShell เพื่อปิดการทำงานของ Windows Defender นั้น ตัวมัลแวร์จะใช้ฟังก์ชัน CheckDefenderSettings() ด้วยคำสั่ง Get-MpPreference -verbose เพื่อตรวจสอบว่ามีฟีเจอร์รักษาความปลอดภัยตัวใดที่ยังเปิดใช้งานอยู่บ้าน หลังจากนั้นก็จะใช้ค่าที่ได้จากการวิเคราะห์มาเลือกปิดผ่านทางการใช้คำสั่ง Set-MpPreference เช่น การปิด Real-Time Protection ตัวมัลแวร์จะใช้คำสั่ง Set-MpPreference -DisableRealtimeMonitoring $true เพื่อปิดระบบนี้ลง เป็นต้น นอกจากฟีเจอร์การตรวจจับข้างต้นแล้ว ตัวมัลแวร์ยังทำการสั่งปิดฟีเจอร์รักษาความปลอดภัยอื่น ๆ เช่น ฟีเจอร์บล็อกมัลแวร์ทันทีที่เห็น (DisableBlockAtFirstSeen), ฟีเจอร์ตรวจสอบกิจกรรมของไฟล์และโปรแกรมต่าง ๆ (DisableIOAVProtection), และ ฟีเจอร์โหมดความเป็นส่วนตัว (DisablePrivacyMode) อีกด้วย
ทางทีมวิจัยจาก Cyfirma บริษัทผู้พัฒนาโซลูชันด้านการรักษาความปลอดภัยไซเบอร์ ยังได้เปิดเผยอีกว่า ปัจจุบันมัลแวร์ CyberEYE RAT นั้นเป็นที่นิยมในกลุ่มแฮกเกอร์มาก เนื่องจากหน้าจอการควบคุมนั้นมีความสวยงาม ใช้งานได้ง่าย มีฟีเจอร์ที่หลากหลาย ใช้ได้ง่ายแม้แต่กับแฮกเกอร์มือใหม่ ทั้งยังสามารถหาได้จากหลายแหล่ง เช่น ช่องลับบนแอปแชท Telegram และ คลังดิจิทัล (Repository) บน Github โดยมีแฮกเกอร์ที่อยู่เบื้องหลังของการพัฒนานี้ที่รู้จักแต่ในนามว่า @cisamul23 และ @CodQu ทั้งนี้ ทางแหล่งข่าวไม่ได้มีการให้ข้อมูลว่า แฮกเกอร์ใช้วิธีการใดในการแพร่กระจายมัลแวร์ดังกล่าวให้เข้าถึงตัวเหยื่อ