มัลแวร์ BabyShark เป็นมัลแวร์สายพันธุ์ใหม่ที่เกี่ยวข้องกับผู้มีบทบาทของรัฐจากเกาหลีเหนือ นักวิจัยจาก Palo Alto Networks Unit 42 ระบุตัวตนครั้งแรกเมื่อเดือนกุมภาพันธ์ 2019
เหตุผลที่นักวิจัยด้านความปลอดภัยทางไซเบอร์สามารถระบุที่มาได้เนื่องจากมีการเผยแพร่โดยใช้เทคนิคฟิชชิ่งหอกที่เกี่ยวข้องกับเกาหลีเหนือ ในกรณีนี้ อีเมลฟิชชิ่งหอกถูกสร้างขึ้นในลักษณะที่ดูเหมือนว่ามาจากผู้เชี่ยวชาญด้านนิวเคลียร์ชั้นนำของสหรัฐฯ อีเมลดังกล่าวมีชื่อผู้เชี่ยวชาญและหัวข้อที่เกี่ยวข้องกับปัญหาปุ่มลัดของโครงการขีปนาวุธนิวเคลียร์ของเกาหลีเหนือ
ตัวชี้อีกประการหนึ่งสำหรับกลุ่มแฮ็คของเกาหลีเหนือคือความจริงที่ว่ามัลแวร์ใช้เทคนิคการแทรกซึมแบบเดียวกันกับมัลแวร์ KimJongRAT และ STOLEN PENCIL ซึ่งทั้งสองอย่างนี้เกี่ยวข้องกับอาณาจักรฤาษี
มัลแวร์ BabyShark ทำอะไรได้บ้าง
ขั้นตอนแรกของการติดเชื้อโดยมัลแวร์ BabyShark เกี่ยวข้องกับการดำเนินการสคริปต์ Microsoft Visual Basic ที่มีอยู่ในไฟล์ MS Excel ที่เป็นอันตราย
สคริปต์ VB เปิดใช้งานชุดของรหัสมาโครสำหรับทั้ง MS Word และ Excel ที่เพิ่มคีย์รีจิสทรี และออกคำสั่งเพื่อค้นหาข้อมูลผู้ใช้ ข้อมูลระบบ ชื่อระบบ ที่อยู่ IP งานที่รันอยู่ และเวอร์ชันของไฟล์
ข้อมูลที่หาอาหารจะถูกส่งไปยังเซิร์ฟเวอร์คำสั่งและการควบคุม (C&C) แต่จะไม่ก่อนที่จะเข้ารหัสโดยมัลแวร์ BabyShark โดยใช้ไฟล์เรียกทำงานที่เรียกว่า certutil.exe หลังจากส่งข้อมูลเริ่มต้นนี้ เอนทิตีมัลแวร์จะนั่งรอคำสั่งจาก C&C อย่างเฉยเมย
เชื่อกันว่าเป้าหมายหลักของผู้คุกคามที่อยู่เบื้องหลังเอนทิตีมัลแวร์คือการรวบรวมข่าวกรองที่เกี่ยวข้องกับปัญหาความมั่นคงระดับชาติของเอเชียตะวันออกเฉียงเหนือ
วิธีลบมัลแวร์ BabyShark
แม้ว่ามัลแวร์ BabyShark จะเผยแพร่ผ่านไฟล์ MS Word และ Excel แต่ก็เป็นมัลแวร์ที่ไม่มีไฟล์ กล่าวคือไม่มีอยู่ในโฟลเดอร์ใดโฟลเดอร์หนึ่ง เนื่องจากเป็นเพียงโค้ดที่เรียกใช้ได้หลายครั้งตามต้องการ
ซึ่งทำให้เป็นเป้าหมายที่ยากมากสำหรับซอฟต์แวร์ป้องกันมัลแวร์ส่วนใหญ่ ยกเว้นซอฟต์แวร์ที่เน้นที่การตรวจสอบพฤติกรรม การควบคุมแอปพลิเคชัน และการเสริมความแข็งแกร่งให้กับจุดสิ้นสุด นั่นคือเหตุผลที่เราแนะนำ Outbyte Anti-Malware อย่างที่ทราบกันว่าใช้เทคนิคเหล่านี้และอื่นๆ อีกมากมาย
แอนตี้มัลแวร์จะทำความสะอาดระบบของคุณอย่างล้ำลึกและลบเอนทิตีมัลแวร์ใดๆ ก็ตาม แต่คุณจะต้องเรียกใช้อุปกรณ์ Windows หรือ Mac ของคุณในเซฟโหมดที่มีระบบเครือข่ายด้วยวิธีนี้ เอนทิตีมัลแวร์จะไม่มีโอกาสรบกวนการทำงานอัตโนมัติ รายการ
หลังจากที่โปรแกรมป้องกันมัลแวร์ทำงานเสร็จแล้ว คุณควรปรับใช้เครื่องมือซ่อมแซมพีซีเพื่อล้างไฟล์ดาวน์โหลดและโฟลเดอร์ชั่วคราวที่ปนเปื้อนซึ่งอาจมีไวรัสอยู่
เครื่องมือซ่อมแซมพีซีจะซ่อมแซมความเสียหายที่เกิดขึ้นกับไฟล์รายการรีจิสตรีด้วย
หลังจากที่คุณลบเอนทิตีมัลแวร์สำเร็จแล้ว ตอนนี้คุณต้องใช้มาตรการเพื่อให้แน่ใจว่าคุณจะไม่ติดไวรัสอีก
ปกป้องระบบของคุณจากมัลแวร์ BabyShark
วิธีที่ดีที่สุดที่จะปกป้องคอมพิวเตอร์ของคุณจากมัลแวร์ BabyShark คือการดูแลและอย่าจมปลักกับแคมเปญฟิชชิ่งแบบหอกที่เกาหลีเหนือต้องการใช้ แน่นอนว่าอีเมลและไฟล์แนบอาจดึงดูดใจได้มาก แต่คุณต้องเข้าใจว่าอีเมลและไฟล์แนบนั้นดูมีเหตุผล
นอกจากนี้ คุณยังมีตัวเลือกในการตรวจสอบอีกครั้งว่าอีเมลนั้นเป็นของแท้หรือไม่ ในกรณีของมัลแวร์ BabyShark ผู้เชี่ยวชาญเรื่องนิวเคลียร์ที่มีชื่อเสียงจากสหรัฐฯ จะแชร์ไฟล์ที่เกี่ยวข้องกับเกาหลีเหนือในอีเมลที่แชร์กับผู้คนแบบสุ่มได้อย่างไร ดู? ง่ายมาก
สุดท้าย คุณควรมีเครื่องมือป้องกันมัลแวร์ที่มีประสิทธิภาพบนคอมพิวเตอร์ของคุณตลอดเวลา ใช้เพื่อสแกนอุปกรณ์ของคุณได้บ่อยเท่าที่คุณจะทำได้
