Agent Tesla Malware Phishing จ้องขโมยรหัสผ่าน WiFi

NT cyfence
NT cyfenceทีมงาน NT cyfence ที่พร้อมให้คำปรึกษา และ ดูแลความปลอดภัยให้กับทุกองค์กร อย่างครบวงจร ด้วยทีมงานมืออาชีพ

นักวิจัยด้านความปลอดภัยไซเบอร์จาก Malwarebytes ประกาศว่าพบ Agent Tesla malware เมื่อต้นสัปดาห์ที่ผ่านมา ซึ่งเป็นมัลแวร์ที่สามารถขโมยรหัส WiFi Password จากเครื่องคอมพิวเตอร์ที่ถูก Compromise ได้และจะแพร่กระจาย malware ให้กับเครื่องที่อยู่ในวง Wireless network เดียวกันด้วยวิธีการ ดังนี้

  • เก็บข้อมูล WiFi Profiles ทั้งหมดที่มีในเครื่องด้วยคำสั่ง “netsh wlan show profile”
  • เมื่อได้ข้อมูล SSID ที่เครื่องรู้จักแล้วจะนำ SSID นั้นไปเพิ่มในคำสั่ง “netsh wlan show profile SSID_name key= clear” ผลจากการใช้คำสั่งนี้จะทำให้มองเห็น password เป็น clear text

นอกจาก Tesla malware จะสามารถขโมยรหัสผ่าน WiFi Profiles แล้วยังเก็บข้อมูลอื่นที่มีความสำคัญอีกหลายอย่างไม่ว่าจะเป็น FTP clients, browsers, file downloaders, machine info username, computer name, OS name, CPU architecture, RAM ฯลฯ ซึ่งแน่นอนว่าข้อมูลเหล่านี้เป็นข้อมูลสำคัญที่ attacker สามารถนำไปใช้ประโยชน์ได้อีกในภายหลัง และไม่ใช่แค่เพียง Agent Tesla ที่นำ WiFi spreader Module มาใช้งานเท่านั้น ตัวมัลแวร์ Emotet เวอร์ชัน Upgrade ก็ใช้การแพร่กระจายผ่าน WiFi ด้วยเช่นกัน

Agent Tesla malware ถูกจัดอยู่ในอันดับ 2 ใน 10 อันดับภัยคุกคามที่แพร่หลายมากที่สุดที่วางขายใน Dark web ซึ่งจัดอยู่ในกลุ่ม malware ที่ใช้เพื่อการขโมยข้อมูล (info-stealing program) keylogging และ remote access Trojan (RAT) มัลแวร์ตัวนี้มาจากการแพร่กระจายด้วยการส่ง Email Spam หรือ Phishing mail แนบไฟล์ Format ต่างๆ เช่น ZIP, CAB, MSI, IMG files และ Office documents หากผู้ใช้งานไม่ระมัดระวัง เผลอดาวน์โหลดไฟล์แนบในอีเมล ก็จะทำให้เครื่องติด malware ชนิดนี้และเมื่อเครื่องถูกฝังมัลแวร์แล้ว Attacker จะสามารถเก็บข้อมูล system information ที่ขโมยจาก data clipboard และหยุดการทำงานของ Antivirus หรือ process อื่นๆ เพื่อให้เครื่องนั้นไม่สามารถใช้บริการได้ ดังนั้น ขอแนะนำว่าควรตรวจสอบ Email ก่อนดาวน์โหลดไฟล์ใด ๆ ลงเครื่อง

ซึ่งเราสามารถสังเกตด้วยตัวเองง่าย ๆ ดังนี้

  1. หลีกเลี่ยงการเปิด email ที่มีความเสี่ยง หรือไม่ทราบแหล่งที่มา
  2. หลีกเลี่ยงการกด hyperlinks ต่างๆ ที่มาพร้อมกับ email
  3. ไม่ download ไฟล์ใด ๆ ที่มาพร้อมกับ email ที่ไม่ทราบแหล่งที่มา
  4. หากไม่แน่ใจว่าเป็น email อันตรายหรือไม่ ควร re-check กับผู้ส่งก่อนเปิดหรือ Download ไฟล์ต่างๆ

บทความที่เกี่ยวข้อง