มัลแวร์ BabyShark คืออะไร (04.26.24)

ป้องกันมัลแวร์

มัลแวร์ BabyShark เป็นมัลแวร์สายพันธุ์ใหม่ที่เกี่ยวข้องกับหน่วยงานของรัฐจากเกาหลีเหนือ นักวิจัยจาก Palo Alto Networks Unit 42 ตรวจพบครั้งแรกเมื่อเดือนกุมภาพันธ์ 2019

เหตุผลที่นักวิจัยด้านความปลอดภัยทางไซเบอร์สามารถระบุที่มาได้เนื่องจากมีการเผยแพร่โดยใช้เทคนิคฟิชชิ่งแบบหอกที่เกี่ยวข้องกับเกาหลีเหนือ ในกรณีนี้ อีเมลฟิชชิ่งหอกถูกสร้างขึ้นในลักษณะที่ดูเหมือนว่ามาจากผู้เชี่ยวชาญด้านนิวเคลียร์ชั้นนำของสหรัฐฯ อีเมลดังกล่าวมีชื่อผู้เชี่ยวชาญและหัวข้อที่เกี่ยวข้องกับปัญหาปุ่มลัดของโครงการขีปนาวุธนิวเคลียร์ของเกาหลีเหนือ

ตัวชี้อีกประการหนึ่งสำหรับกลุ่มแฮ็กข้อมูลของเกาหลีเหนือคือความจริงที่ว่ามัลแวร์ใช้เทคนิคการแทรกซึมแบบเดียวกับ มัลแวร์ KimJongRAT และ STOLEN PENCIL ซึ่งทั้งคู่เกี่ยวข้องกับอาณาจักรฤาษี

มัลแวร์ BabyShark ทำอะไร

ระยะแรกของการติดมัลแวร์ BabyShark เกี่ยวข้องกับการใช้งานสคริปต์ Microsoft Visual Basic ที่มีอยู่ในไฟล์ MS Excel ที่เป็นอันตราย

สคริปต์ VB เปิดใช้งานชุดรหัสมาโครสำหรับ MS ทั้งสอง Word และ Excel ที่เพิ่มรีจิสตรีคีย์ และออกคำสั่งเพื่อค้นหาข้อมูลผู้ใช้ ข้อมูลระบบ ชื่อระบบ ที่อยู่ IP งานที่รันอยู่ และเวอร์ชันของไฟล์

ข้อมูลที่ค้นหาจะถูกส่งไปยังเซิร์ฟเวอร์คำสั่งและการควบคุม (C&C) แต่ไม่ใช่ก่อนที่จะเข้ารหัสโดยมัลแวร์ BabyShark โดยใช้ไฟล์เรียกทำงานที่เรียกว่า certutil.exe หลังจากส่งข้อมูลเริ่มต้นนี้ เอนทิตีมัลแวร์จะนั่งรอคำสั่งจาก C&C อย่างเฉยเมย

เชื่อกันว่าเป้าหมายหลักของผู้คุกคามที่อยู่เบื้องหลังเอนทิตีมัลแวร์คือการรวบรวมข่าวกรองที่เกี่ยวข้องกับภาคตะวันออกเฉียงเหนือ ปัญหาความมั่นคงแห่งชาติของเอเชีย

วิธีลบมัลแวร์ BabyShark

แม้ว่ามัลแวร์ BabyShark จะเผยแพร่ผ่านไฟล์ MS Word และ Excel แต่ก็เป็นมัลแวร์แบบไม่มีไฟล์ กล่าวคือไม่มีอยู่ในโฟลเดอร์ใดโฟลเดอร์หนึ่ง เนื่องจากเป็นเพียงโค้ดที่สามารถทำงานได้หลายครั้งตามต้องการ

สิ่งนี้ทำให้เป็นเป้าหมายที่ยากมากสำหรับซอฟต์แวร์ป้องกันมัลแวร์ส่วนใหญ่ ยกเว้นผู้ที่ให้ความสำคัญกับการตรวจสอบพฤติกรรม การควบคุมแอปพลิเคชัน และการแข็งตัวของจุดปลาย นั่นคือเหตุผลที่เราแนะนำ Outbyte Anti-Malware เนื่องจากมีการใช้เทคนิคเหล่านี้และอื่นๆ อีกมากมาย

โปรแกรมป้องกันมัลแวร์จะทำความสะอาดระบบของคุณอย่างล้ำลึกและนำมัลแวร์ออก เอนทิตี แต่คุณจะต้องเรียกใช้อุปกรณ์ Windows หรือ Mac ของคุณในเซฟโหมดที่มีระบบเครือข่ายด้วยวิธีนี้ เอนทิตีมัลแวร์จะไม่มีโอกาสเข้าไปยุ่งเกี่ยวกับรายการเริ่มต้นอัตโนมัติ

หลังจากป้องกันมัลแวร์เสร็จสิ้น ใช้งานได้ คุณควรปรับใช้เครื่องมือซ่อมแซมพีซีเพื่อล้างโฟลเดอร์ดาวน์โหลดและโฟลเดอร์ชั่วคราวที่ปนเปื้อนซึ่งอาจมีไวรัสอยู่

เครื่องมือซ่อมแซมพีซีจะซ่อมแซมความเสียหายใดๆ ที่เกิดขึ้นกับไฟล์รายการรีจิสตรีด้วย

หลังจากที่คุณลบเอนทิตีมัลแวร์สำเร็จแล้ว ตอนนี้คุณต้องดำเนินมาตรการเพื่อให้แน่ใจว่าคุณจะไม่ติดเชื้ออีก

ปกป้องระบบของคุณจากมัลแวร์ BabyShark

วิธีที่ดีที่สุดในการปกป้องคอมพิวเตอร์ของคุณจากมัลแวร์ BabyShark คือการดูแลและไม่จมอยู่ในแคมเปญฟิชชิ่งแบบหอกที่เกาหลีเหนือต้องการใช้ แน่นอนว่าอีเมลและไฟล์แนบอาจดึงดูดใจได้มาก แต่คุณต้องเข้าใจว่าอีเมลและไฟล์แนบนั้นปรากฏขึ้นมาด้วยเหตุผลบางประการ

นอกจากนี้ คุณยังมีตัวเลือกที่จะตรวจสอบซ้ำได้เสมอว่าอีเมลนั้นหรือไม่ เป็นของแท้ ในกรณีของมัลแวร์ BabyShark ผู้เชี่ยวชาญเรื่องนิวเคลียร์ที่มีชื่อเสียงจากสหรัฐฯ จะแชร์ไฟล์ที่เกี่ยวข้องกับเกาหลีเหนือในอีเมลที่แชร์กับผู้คนแบบสุ่มได้อย่างไร ดู? มันง่ายมาก

สุดท้าย คุณควรมีเครื่องมือป้องกันมัลแวร์ที่มีประสิทธิภาพบนคอมพิวเตอร์ของคุณตลอดเวลา ใช้เพื่อสแกนอุปกรณ์ของคุณได้บ่อยเท่าที่คุณจะทำได้