เตือนระวังภัยมัลแวร์ Emotet แพร่ใน Wi-Fi สาธารณะ ระวังอาจถูกขโมยเงินได้

กองบรรณาธิการ TCIJ 13 ก.พ. 2563 | อ่านแล้ว 745 ครั้ง

เตือนระวังภัยมัลแวร์ Emotet แพร่ใน Wi-Fi สาธารณะ ระวังอาจถูกขโมยเงินได้

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ThaiCERT) เตือนระวังภัยพบมัลแวร์ Emotet ซึ่งเป็น banking trojan มีความสามารถในการขโมยข้อมูลทางการเงินเช่นรหัสผ่านบัญชีธนาคารออนไลน์ได้ กำลังแพร่กระจายผ่าน Wi-Fi ควรระวังหากเชื่อมต่อ Wi-Fi สาธารณะเพราะอาจถูกขโมยเงินได้ | ที่มาภาพประกอบ: i-secure.co.th

เว็บไซต์ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ThaiCERT) รายงานเมื่อวันที่ 7 ก.พ. 2563 ที่ผ่านมาว่าระวังภัย พบมัลแวร์ Emotet แพร่กระจายผ่าน Wi-Fi ควรระวังหากเชื่อมต่อ Wi-Fi สาธารณะเพราะอาจถูกขโมยเงินได้ โดย Emotet เป็นมัลแวร์ประเภท banking trojan มีความสามารถในการขโมยข้อมูลทางการเงินเช่นรหัสผ่านบัญชีธนาคารออนไลน์ ตัวมัลแวร์ Emotet นั้นอาศัยเทคนิคใหม่ๆ ในการแพร่กระจายตัวเองอยู่ตลอดเวลา เมื่อวันที่ 6 ก.พ. 2563 มีรายงานจากทีมวิจัยของบริษัท Binary Defense ว่าพบมัลแวร์ Emotet แพร่กระจายตัวเองไปยังเครื่องคอมพิวเตอร์อื่นๆ ที่เชื่อมต่ออยู่ใน Wi-Fi เดียวกัน

เมื่อมัลแวร์ Emotet ติดในเครื่องคอมพิวเตอร์ที่สามารถเชื่อมต่อกับ Wi-Fi ได้ มันจะสแกนว่าในบริเวณนั้นมีการปล่อย Wi-Fi อะไรบ้าง หากพบ Wi-Fi ที่สามารถเชื่อมต่อได้โดยไม่ต้องมีรหัสผ่านมันก็จะเชื่อมต่อกับ Wi-Fi นั้นทันที แต่หากพบ Wi-Fi ที่ติดรหัสผ่านมันจะพยายามเดาโดยอ้างอิงจากฐานข้อมูลรหัสผ่านที่มีอยู่ (ซึ่งหากใช้รหัสผ่านที่คาดเดาได้ง่าย ตัวมัลแวร์ก็จะเชื่อมต่อเข้าไปได้ไม่ยาก)

หลังจากที่สามารถเชื่อมต่อกับ Wi-Fi ได้แล้ว ตัวมัลแวร์จะสแกนว่ามีคอมพิวเตอร์เครื่องใดบ้างที่เชื่อมต่อกับ Wi-Fi นั้นอยู่ หากเครื่องคอมพิวเตอร์ดังกล่าวใช้งาน Windows และเปิดใช้งาน file sharing ตัวมัลแวร์จะเข้าไปลิสต์รายชื่อบัญชีผู้ใช้ในเครื่องดังกล่าว จากนั้นจะพยายามเดารหัสผ่านของบัญชีผู้ดูแลระบบเพื่อที่จะใช้แพร่กระจายตัวเองต่อไป โดยหลังจากที่ติดตั้งตัวเองเสร็จเรียบร้อยแล้ว ตัวมัลแวร์จะส่งข้อมูลกลับไปรายงานตัวกับเครื่องเซิร์ฟเวอร์ที่ใช้ควบคุมมัลแวร์ด้วย

ทาง Binary Defense ยังไม่ยืนยันว่ามัลแวร์ Emotet เริ่มใช้วิธีนี้ในการแพร่กระจายตัวเองตั้งแต่เมื่อไหร่ แต่จากข้อมูลในไฟล์มัลแวร์พบว่าถูกสร้างตั้งแต่ช่วงเดือนเมษายนปี 2561 ซึ่งอาจเป็นไปได้ว่ามีการแพร่กระจายมัลแวร์ผ่านช่องทางนี้มาเป็นเวลาเกือบ 2 ปีแล้ว นอกจากนี้ทางทีมวิจัยยังให้ข้อมูลเพิ่มเติมว่า สาเหตุที่ยังไม่เคยมีรายงานการแพร่กระจายมัลแวร์ผ่าน Wi-Fi มาก่อนหน้านี้อาจเป็นไปได้ว่าตอนที่วิเคราะห์มัลแวร์นั้นในระบบที่ใช้วิเคราะห์ไม่ได้มีการตั้งค่าให้จำลองการเชื่อมต่อ Wi-Fi จึงทำให้ตัวมัลแวร์ไม่แสดงพฤติกรรมนี้ออกมา (ทาง Binary Defense พบว่ามัลแวร์มีคุณสมบัตินี้จากการใช้วิธี reverse engineering)

เหตุการณ์นี้เป็นหนึ่งในข้อควรพิจารณาด้านความมั่นคงปลอดภัยในการใช้งาน Wi-Fi ซึ่งกรณีนี้ไม่ใช่เฉพาะแค่ Wi-Fi สาธารณะ แต่อาจรวมถึง Wi-Fi ในที่ทำงานหรือ Wi-Fi ในที่พักอาศัยด้วย

ข้อแนะนำในการป้องกัน

- ตั้งรหัสผ่าน Wi-Fi และรหัสผ่านบัญชีผู้ใช้ที่ไม่สั้นเกินไปและคาดเดาได้ยาก ไม่ใช้รหัสผ่านซ้ำกับที่เคยใช้ในบริการอื่นๆ
- พิจารณาก่อนเชื่อมต่อ Wi-Fi สาธารณะ หากเป็นไปได้ควรเปิดใช้ hotspot จากโทรศัพท์มือถือ
- เปิดใช้งาน firewall เพื่อป้องกันการเชื่อมต่อที่ไม่ถึงประสงค์
- อัปเดตแอนติไวรัสและแพตช์ของซอฟต์แวร์ที่ใช้งานอย่างสม่ำเสมอ

ร่วมเป็นแฟนเพจเฟสบุ๊คกับ TCIJ ออนไลน์
www.facebook.com/tcijthai

ป้ายคำ