บริษัทด้านความปลอดภัยของรัสเซีย Kaspersky Lab ได้ออกรายงานที่กล่าวว่า พบธนาคารและสถาบันการเงินมากกว่าร้อยแห่งทั่วโลก กำลังติดเชื้อมัลแวร์ที่ฝังตัวบนหน่วยความจำ ซึ่งมีความซับซ้อน ตรวจจับได้ยาก และอันตรายเป็นอย่างมาก
นอกจากธนาคารแล้ว ยังมีบริษัทด้านโทรคมนาคมและหน่วยงานภาครัฐในกว่า 40 ประเทศ ในสหรัฐฯ, อเมริกาใต้, ยุโรป, และแอฟริกา ซึ่งถือว่าเป็นมัลแวร์แบบไร้ร่องรอยที่อยู่เฉพาะบนหน่วยความจำของคอมพิวเตอร์ที่โดนเล่นงาน มัลแวร์ไร้ตัวตนนี้เคยถูกค้นพบครั้งแรกโดย Kaspersky เองตั้งแต่ปี 2557 แต่ยังไม่พบการระบาดขนาดหนักจนถึงเมื่อเร็วๆ นี้
มัลแวร์ไร้ตัวตน หรือ Fileless Malware เป็นซอฟต์แวร์ที่ไม่ได้คัดลอกไฟล์หรือโฟลเดอร์ใดๆ ลงบนฮาร์ดไดรฟ์เพื่อรันการทำงานเหมือนมัลแวร์ตัวอื่น แต่ใช้การคัดลอกตัวเองเจาะเข้าไปในหน่วยความจำที่รันโปรเซสต่างๆ อยู่ เรียกว่าทำงานโดยอาศัยแรมเป็นที่ทำกิน ซึ่งเมื่อมัลแวร์สิงอยู่แต่ในหน่วยความจำ เมื่อระบบปิดเปิดใหม่ก็จะหายตัวไปแบบไร้ร่องรอย ทำให้ยากมากต่อการตามสืบ
การโจมตีที่ถูกค้นพบนั้น ครั้งแรกพบโดยทีมงานด้านความปลอดภัยของธนาคารที่พบข้อมูลของ Meterpreter ซึ่งเป็นข้อมูลองค์ประกอบของ Metasploit ซึ่งเป็นมัลแวร์ที่อยู่ในหน่วยความจำของเครื่องโดเมนคอนโทรลเลอร์ของระบบที่ใช้ผลิตภัณฑ์ของไมโครซอฟต์ โดย Kaspersky ได้สืบสวนจนพบว่า ผู้โจมตีได้ใช้ประโยชน์จาก PowerShell บนวินโดวส์ในการโหลดโค้ดของ Meterpreter เข้าสู่หน่วยความจำโดยตรงแทนที่จะเขียนลงดิสก์ แล้วยังใช้ทูลเน็ตเวิร์กอย่าง NETSH เพื่อสร้างการเชื่อมต่อเป็นท่อพร็อกซี่สำหรับคุยกับเซิร์ฟเวอร์ควบคุมกลางของผู้โจมตี ในการควบคุมเครื่องเป้าหมายจากระยะไกล
ที่มา : http://thehackernews.com/2017/02/fileless-malware-bank.html
