445/67 (IT) ประจำวันอังคารที่ 17 ธันวาคม 2567
สำนักงานความปลอดภัยทางสารสนเทศแห่งเยอรมนี (BSI) ประกาศถึงความสำเร็จในการยับยั้งปฏิบัติการมัลแวร์ที่ชื่อ BADBOX ซึ่งถูกพบว่าติดตั้งบนอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตกว่า 30,000 เครื่องที่จำหน่ายในประเทศ หน่วยงานได้ตัดการสื่อสารระหว่างอุปกรณ์ที่ติดมัลแวร์กับเซิร์ฟเวอร์ควบคุม (C2 servers) ด้วยการใช้เทคนิค sinkholing โดยมีอุปกรณ์ที่ได้รับผลกระทบเช่น digital picture frames, media players และ streamers รวมถึงอาจครอบคลุมถึงโทรศัพท์และแท็บเล็ตด้วย
BADBOX ถูกเปิดเผยครั้งแรกจากทีม Satori Threat Intelligence ของ HUMAN ในเดือนตุลาคม 2023 โดยระบุว่าเป็น “complex threat actor scheme” ซึ่งใช้มัลแวร์ Triada Android ในการเจาะช่องโหว่ของอุปกรณ์ Android และเมื่อเชื่อมต่อกับอินเทอร์เน็ต มัลแวร์จะสามารถเก็บข้อมูลต่าง ๆ เช่น รหัสยืนยันตัวตน และติดตั้งมัลแวร์เพิ่มเติมได้ นอกจากนี้ BADBOX ยังเชื่อมโยงกับบ็อตเน็ตโฆษณาที่ชื่อ PEACHPIT ซึ่งปลอมแปลงแอปพลิเคชันยอดนิยมในระบบ Android และ iOS เพื่อสร้างการเข้าชมปลอมและขายพื้นที่โฆษณาที่หลอกลวง
BSI ยังระบุว่าอุปกรณ์ที่ติด BADBOX ยังสามารถใช้เป็นพร็อกซีเซิร์ฟเวอร์เพื่อปกปิดร่องรอยการโจมตี และสร้างบัญชีในแพลตฟอร์มเช่น Gmail และ WhatsApp ได้ เพื่อยับยั้งวงจรการโจมตี หน่วยงาน BSI ได้สั่งให้ผู้ให้บริการอินเทอร์เน็ตที่มีผู้ใช้งานมากกว่า 100,000 รายในเยอรมนีเปลี่ยนเส้นทางการจราจรของอุปกรณ์ที่ติดมัลแวร์ไปยัง sinkhole พร้อมแนะนำให้ผู้ใช้งานตัดการเชื่อมต่ออุปกรณ์ที่ได้รับผลกระทบทันที
แหล่งข่าว https://thehackernews.com/2024/12/germany-disrupts-badbox-malware-on.html
