ThreatFabric ซึ่งเป็นบริษัทด้านความปลอดภัยทางอินเทอร์เน็ตในกรุงอัมสเตอร์ดัม ระบุว่าพบโทรจัน “Cerberus” ที่สร้างมาเพื่อขโมยรหัส 2-Factor Authentication (2FA) จาก Google Authenticator ของ internet banking, email accounts, และเว็บเทรด cryptocurrency
เว็บเทรด Coinbase ของสหรัฐฯ เป็นหนึ่งในแพลตฟอร์มที่ตกเป็นเป้าหมายของ Cerberus นอกจากนี้ยังรวมถึงสถาบันการเงินที่สำคัญ ๆ ทั่วโลกและแอพโซเชียลมีเดียต่าง ๆ
รายงานของ ThreatFabric ระบุว่าเจ้า Remote Access Trojan (RAT) “Cerberus” ถูกค้นพบครั้งแรกในช่วงปลายเดือนมิถุนายน โดยเข้ามาแทนที่ Anubis Trojan และกลายเป็นผลิตภัณฑ์ Malware-as-a-Service
รายงานระบุว่า Cerberus ได้รับการอัปเดตในช่วงกลางเดือนมกราคม 2020 โดยเวอร์ชั่นใหม่นี้มีความสามารถในการขโมยโทเค็น 2FA จาก Google Authenticator รวมถึงรหัส PIN สำหรับการล็อคหน้าจอของอุปกรณ์ต่าง ๆ และรูปแบบการล็อคหน้าจอแบบ swipe (ที่ต้องปัดนิ้วไปตามจุดต่าง ๆ)
หากเราเผลอติดเจ้าโทรจัน Cerberus มันจะทำการดาวน์โหลดข้อมูลของอุปกรณ์ของเรา และสร้างการเชื่อมต่อเพื่อให้ผู้สร้างมันพร้อมเข้าถึงอุปกรณ์ของเราจากระยะไกล โดยมันยังสามารถใช้เพื่อกระทำการกับแอพใด ๆ ก็ได้ที่ติดตั้งอยู่บนอุปกรณ์รวมถึงแอพของธนาคารและแอพเว็บเทรด cryptocurrency ต่าง ๆ
“มันสามารถขโมยข้อมูลการล็อคหน้าจอของอุปกรณ์ไม่ว่าจะเป็นรหัสหรือการการล็อคแบบ swipe ทำให้มันสามารถปลดล็อคอุปกรณ์ของเหยื่อจากระยะไกลเพื่อทำการขโมยข้อมูลต่าง ๆ เมื่อเหยื่อไม่ได้ใช้งานอุปกรณ์”
โทรจัน Cerberus ตัวนี้มุ่งโจมตีไปที่แอพเกี่ยวกับ cryptocurrency อย่างน้อย 26 รายการ เช่น Coinbase, Binance, Xapo, Wirex และ Bitpay รวมถึงกระเป๋า Wallet ชั้นนำต่าง ๆ
ส่วนวิธีป้องกันนั้น อาจจำเป็นต้องหา authentication key แบบ physical เช่น YubiKey มาใช้งานแทน เนื่องจาก YubiKey นั้นรองรับ NFC ทำให้ผู้ใช้สามารถแตะเจ้า YubiKey กับสมาร์ทโฟนเพื่อใช้ยืนยัน 2FA ได้เลย และช่วยป้องกันการถูกแฮ็ก 2FA ได้
ที่มา : LINK
