02/06/2023

แรนซั่มแวร์ FARGO กำลังจ้องช่องโหว่ของ Microsoft SQL ในการโจมตีระลอกใหม่

นักวิจัยด้านความปลอดภัยจาก AhnLab Security Emergency Response Center (ASEC) ออกโรงเตือนว่า เซิร์ฟเวอร์ Microsoft SQL ทั่วโลกกำลังเผชิญกับการโจมตีของแรนซั่มแวร์ FARGO นอกจากตัวที่ระบาดอยู่ก่อนแล้วอย่าง GlobeImposter

โดยจากข้อมูลทางสถิติที่อิงตามรหัสของแรนซั่มแวร์แล้ว พบว่า FARGO มีอัตราการเติบโตที่สูงมาก สายพันธุ์นี้เคยมีโค้ดเนมชื่อ “Mallox” จากการเข้ารหัสไฟล์เป็นสกุล .mallox นอกจากนี้ บริษัทแอนตี้ไวรัสอย่าง Avast ก็เคยพบตัวนี้มาก่อน

ซึ่งครั้งนั้นออกรายงานการพบช่วงเดือนกุมภาพันธ์ที่ผ่านมา พร้อมตั้งชื่อว่า TargetCompany รวมถึงมีการออกยูทิลิตี้ถอดรหัสไฟล์เหยื่อที่โดนล็อกให้ด้วย ประเด็นคือทูลปลดล็อกของ Avast ก็ยังมีข้อจำกัดอยู่หลายอย่าง

ครั้งนี้ทาง ASEC ระบุว่า FARGO จะโหลดโค้ด .NET อันตรายโดยใช้คำสั่ง cmd.exe และ powershell.exe แล้วสร้างไฟล์ .BAT สำหรับรันเพื่อปิดโปรเซสและเซอร์วิสต่างๆ ในโฟลเดอร์ %temp% จากนั้นฝังตัวใน AppService.exe ลบรีจิสตรี้ของระบบป้องกันต่างๆ ต่อไป

อ่านเพิ่มเติมที่นี่ – ITPro