มัลแวร์ BOINC

การปกป้องอุปกรณ์จากภัยคุกคามมัลแวร์เป็นสิ่งสำคัญสำหรับการรักษาทั้งความปลอดภัยและฟังก์ชันการทำงาน เมื่อเร็วๆ นี้ อาชญากรไซเบอร์ได้ใช้ประโยชน์จาก BOINC (Berkeley Open Infrastructure for Network Computing) ซึ่งเป็นยูทิลิตี้ที่ถูกต้องตามกฎหมายสำหรับโครงการคอมพิวเตอร์แบบกระจาย เพื่อดำเนินกิจกรรมที่เป็นอันตรายบนระบบที่ติดไวรัส โปรดทราบว่านี่ไม่ใช่ช่องโหว่ใน BOINC เอง แต่มัลแวร์กลับติดตั้ง BOINC อย่างผิดกฎหมายเพื่อดำเนินการแทน

การติดตั้งและการดำเนินการ

มัลแวร์โหลด BOINC บนอุปกรณ์ของผู้ใช้โดยไม่ได้รับความยินยอมโดยใช้เพย์โหลดของบุคคลที่สาม วิธีการนี้จะข้ามกระบวนการติดตั้งทั่วไป ทำให้มั่นใจได้ว่า BOINC ได้รับการติดตั้งอย่างซ่อนเร้น ไบนารีที่ใช้นั้นนำมาจากตัวติดตั้งอย่างเป็นทางการของ BOINC 8.0.2 โดยตรง แม้ว่าตัวติดตั้งจะไม่ได้ใช้งานโดยตรงในกระบวนการติดตั้งก็ตาม

ปฏิบัติการคุกคาม

เมื่อทำการติดตั้ง มัลแวร์จะเริ่มต้นกิจกรรมที่ไม่ปลอดภัยหลายประการ:

• การสร้างผู้ใช้ Windows ที่ซ่อนอยู่ : มีรายงานที่ยังไม่ได้รับการยืนยันว่ามีการสร้างผู้ใช้ Windows ที่ซ่อนอยู่ ซึ่งอาจอำนวยความสะดวกในการเข้าถึงโดยไม่ได้รับอนุญาตเพิ่มเติม
• การติดตั้งบริการ : มีการติดตั้งซอฟต์แวร์ที่เป็นอันตรายเป็นบริการบนระบบที่ติดไวรัส แม้ว่ารายละเอียดเฉพาะ เช่น ชื่อบริการ จะไม่ถูกเปิดเผยในขณะนี้
• การกระจายไฟล์ : BOINC หลายสำเนาจะถูกดาวน์โหลดไปยังโฟลเดอร์ 'C:\USERNAME\AppData\Roaming' และโฟลเดอร์ย่อย ซึ่งกระจายการมีอยู่ทั่วทั้งระบบ
• การเปลี่ยนชื่อปฏิบัติการ : ไฟล์ปฏิบัติการไคลเอ็นต์ BOINC จะถูกเปลี่ยนชื่อเป็นชื่อกระบวนการระบบทั่วไป เช่น '.exe,' 'gupdate.exe,' 'SecurityHealthService.exe,' และ 'trustedinstaller.exe' การปลอมตัวนี้มีจุดมุ่งหมายเพื่อหลบเลี่ยงการตรวจจับและผสมผสานเข้ากับกระบวนการที่ถูกต้องตามกฎหมาย
• การสร้างเซิร์ฟเวอร์ปลอม : มีการรายงานเซิร์ฟเวอร์ BOINC ปลอมที่มีลักษณะคล้ายกับเซิร์ฟเวอร์ Rosetta@home ที่ถูกต้องตามกฎหมาย แม้ว่าชื่อของมันจะยังไม่เปิดเผยด้วยเหตุผลด้านความปลอดภัย แต่เซิร์ฟเวอร์นี้เลียนแบบโครงการที่ถูกต้องตามกฎหมายที่อาจหลอกลวงผู้ใช้และดำเนินการที่ไม่ได้รับอนุญาต

การกระจายและผลกระทบ

วิธีการเผยแพร่มัลแวร์นี้ยังไม่ชัดเจน โดยเหยื่อคาดเดาว่าอาจเชื่อมโยงกับการเชื่อมต่อกับเครือข่าย Wi-Fi สาธารณะ แคมเปญนี้ดูเหมือนจะกำหนดเป้าหมายผู้ใช้โดยเฉพาะในสหรัฐอเมริกา โดยส่งผลกระทบต่ออุปกรณ์ Windows ประมาณ 7,000 เครื่องตามที่รายงานโดยเซิร์ฟเวอร์โครงการปลอม

คำแนะนำในการบรรเทาและกำจัด

นักวิจัยแนะนำขั้นตอนต่อไปนี้เพื่อลดผลกระทบของมัลแวร์นี้:

• การล้างข้อมูลตัวกำหนดเวลางาน : ตรวจสอบและลบรายการใด ๆ ใน Task Scheduler ที่รันโค้ดจากโฟลเดอร์ 'Roaming' รายการเหล่านี้อาจดูเหมือนปลอมแปลงเป็นกระบวนการที่ถูกต้องตามกฎหมาย เช่น การอัปเดตของ Mozilla หรือ Google หรืออาจประกอบด้วยเครื่องหมายขีดล่างตามด้วยตัวเลข
• การลบไฟล์ : ลบไฟล์ที่ไม่ต้องการทั้งหมดที่จัดเก็บไว้ในโฟลเดอร์ 'Roaming' และโฟลเดอร์ย่อย ผู้ใช้อาจจำเป็นต้องยุติกระบวนการโดยใช้ 'ตัวจัดการงาน' เพื่อให้แน่ใจว่าไฟล์ที่ไม่ปลอดภัยทั้งหมดจะถูกลบได้อย่างปลอดภัย

ด้วยการใช้มาตรการป้องกันเหล่านี้และระมัดระวังต่อกิจกรรมและการติดตั้งที่น่าสงสัย ผู้ใช้สามารถช่วยปกป้องอุปกรณ์ของตนจากผลกระทบของซอฟต์แวร์ที่เป็นอันตราย เช่น มัลแวร์ BOINC