ทีมนักวิจัยจาก Cisco Talos พบโทรจันแบบเข้าถึงจากระยะไกลที่ชื่อ GravityRAT ซึ่งมีการปรับปรุงใหม่ให้สามารถหลบการตรวจจับของแอนติไวรัส โดยเฉพาะเทคนิคการจำกัดบริเวณหรือ Sandbox ได้
ซึ่งแม้ Cisco Talos จะติดตามความเคลื่อนไหวมากว่า 8 เดือน ก็ยังไม่สามารถระบุหาตำแหน่งของผู้พัฒนาหรือปล่อยมัลแวร์นี้ได้ เพียงแต่มีข้อสังเกตว่ามีเอกสารที่ใช้สำหรับทดสอบการตรวจจับของแอนติไวรัสผ่านแพลตฟอร์ม VirusTotal นั้นถูกอัพโหลดจากประเทศปากีสถาน
โทรจันรุ่นใหม่นี้มีฟีเจอร์อย่างการดูดข้อมูลไฟล์, การรันคำสั่งจากระยะไกล, และเทคนิคต่อต้านการโดนจำกัดบริเวณในวีเอ็ม ซึ่งมีประวัติการพัฒนาอย่างต่อเนื่องในช่วง 18 เดือนที่ผ่านมา อันแสดงถึงความมุ่งมั่นของผู้ที่อยู่เบื้องหลังได้เป็นอย่างดี
GravityRAT แพร่กระจายตัวเองผ่านวิธีทั่วไป อย่างการหลอกให้เหยื่อดาวน์โหลดไฟล์แนบเอกสารเวิร์ดที่เมื่อเปิดแล้วจะร้องขอให้กดเปิดใช้มาโครซึ่งจะทำให้สคริปต์แปลงไฟล์เวิร์ดดังกล่าวออกมาเป็นไฟล์ไบนารี .EXE พร้อมสร้างงานที่กำหนดเวลารันอัตโนมัติในชื่อหลอกว่า wordtest ซึ่งจริงๆ แล้วเป็นการรันโทรจันทุกครั้งที่เปิดเครื่องในแต่ละวัน
สำหรับเทคนิคที่น่าตกใจของ GravityRAT ตัวใหม่นี้คือการตรวจสอบอุณหภูมิของระบบเพื่อตรวจว่ามีการทำงานเวอร์ช่วลแมชชีนหรือไม่ เพื่อหลบเลี่ยงการตรวจสอบจากนักวิจัยทั้งหลายที่มักใช้วีเอ็มในการขังมัลแวร์เพื่อค้นคว้าและถอดรหัสย้อนกลับด้วย
ที่มา : HackRead
