นักวิจัยจาก Proofpoint ค้นพบโทรจันแบบเข้าถึงจากระยะไกลหรือ RAT ที่ระบาดมากับอีเมล์ในช่วงวันที่ 5 – 6 มีนาคมที่ผ่านมา โดยเรียกชื่อโทรจันนี้ว่า FlawedAmmyy ซึ่งโทรจันตัวนี้เคยนำมาใช้โจมตีเมื่อปี 2559 แต่ครั้งนี้ได้ถูกนำมาใช้แพร่เชื้อผ่านอีเมล์ที่เจาะจงเป้าหมายชัดเจนเป็นวงกว้างนับล้านเมล์
โดยการะบาดครั้งใหม่นี้ได้เลือกเหยื่อในกลุ่มอุตสาหกรรมยานยนต์เป็นหลัก พร้อมดัดแปลงให้โทรจันดังกล่าวสามารถเข้าถึงระบบที่รันวินโดวส์ได้อย่างสมบูรณ์ โทรจันนี้ถูกพัฒนาโดยใช้ซอร์สโค้ดของแอพรีโมทเดสก์ท็อปชื่อดังอย่าง Ammyy Admin เวอร์ชั่น 3 ซึ่งถ้าใครที่ติดตั้งแอพนี้แล้วติดเชื้อโทรจัน ก็จะโดนดูดข้อมูลโดยอัตโนมัติ
เชื่อว่าแคมเปญสแปมเมล์ไวรัสครั้งใหญ่นี้เป็นฝีมือของกลุ่มที่ใช้ชื่อว่า TA505 ซึ่งเกี่ยวข้องกับการโจมตีแรนซั่มแวร์ครั้งใหญ่ๆ ก่อนหน้าอย่าง Locky, Dridex, และ Globelmposter ตั้งแต่ช่วงปี 2557 สำหรับเมล์หลอกลวงครั้งนี้จะมาพร้อมกับไฟล์แนบสกุล .url โดยใช้ชื่อเมล์ว่าเป็นใบแจ้งหนี้, ใบเสร็จรับเงิน, หรือเอกสารทางการเงินต่างๆ โดยไฟล์แนบทำให้ดูเหมือนว่าเป็นหลักฐานทางการเงิน
แต่จริงๆ แล้วไฟล์ .url ดังกล่าวกลับเป็นลิงค์เปิดเว็บไซต์แบบอัตโนมัติที่เป็นการดาวน์โหลดไฟล์จาวาสคริปต์ผ่านโปรโตคอล SMB แทนที่จะเปิดหน้าเว็บบราวเซอร์ตามปกติ FlawedAmmyy RAT นี้นอกจากจะเข้าควบคุมเครื่องเพื่อดูดข้อมูลต่างๆ แล้ว ยังสามารถเข้าถึงแชตเสียงที่คุยกันได้ด้วย และจนถึงปัจจุบันยังไม่มีวิธีไหนที่ทำให้เหยื่อรู้ตัวว่าติดเชื้อแล้วได้เลย
ที่มา : Hackread
