เตือนภัย ! ฟิชชิ่ง มัลแวร์จากไฟล์เครื่องคิดเลข Windows 7 และไฟล์ปลอม

เรียกได้ว่าเป็นปัญหาที่มีกันไม่หยุดไม่หย่อนเลยจริง ๆ สำหรับการโจมตีแบบ ฟิชชิ่ง (Phishing) โดยคราวนี้มาอัปเดตเกี่ยวกับการใช้ โปรแกรมเครื่องคิดเลข ที่ติดมากับวินโดวส์ (Windows Calculator) หรือเครื่องคิดเลขบนคอมพิวเตอร์ระบบวินโดวส์สำหรับโจมตีฟิชชิ่ง แล้วแบบนี้จะรู้ได้ยังไงว่าเครื่องคิดเลขเป็นภัยต่อคอมพิวเตอร์คุณหรือไม่

นักวิจัยด้านความปลอดภัย Pr0xyLife ได้ค้นพบมัลแวร์และการโจมตีฟิชชิ่งผ่านโปรแกรมเครื่องคิดเลขบนระบบปฏิบัติการ Windows 7 เพื่อเจาะเข้าสู่คอมพิวเตอร์ ซึ่งการโจมตีลักษณะนี้เริ่มต้นด้วยการหลอกลวงให้ดาวน์โหลดไฟล์ภาพ ISO disc ที่ปลอมแปลงเป็นไฟล์ PDF หรือไฟล์อื่น ๆ ซึ่งไฟล์เหล่านี้มี Shortcut หรือทางลัดสำหรับเปิดไฟล์ Copy ของเครื่องคิดเลขเวอร์ชันเก่า

#Qakbot - obama200 - html > .zip > .iso > .lnk > calc.exe > .dll > .dll

T1574 - DLL Search Order Hijacking

cmd.exe /q /c calc.exe

regsvr32 /s C:\Users\User\AppData\Local\Temp\WindowsCodecs.dll

regsvr32.exe 102755.dllhttps://t.co/2Vgg6cuRFh

IOC'shttps://t.co/e7hkNW8eQu pic.twitter.com/sCH1xagkyR

— proxylife (@pr0xylife) July 11, 2022

แล้วทำไมต้องใช้เครื่องคิดเลขเวอร์ชันนี้ ? เพราะเครื่องคิดเลขบนระบบปฏิบัติการ Windows 7 จะใช้ Dynamic Link Libraries (DLL) ในโฟลเดอร์เดียวกับเครื่องคิดเลขไฟล์ปัจจุบันในคอมพิวเตอร์เครื่องนั้น ๆ ประกอบการเปิดใช้งานเครื่องคิดเลขจะไม่มีเสียงและการแจ้งเตือนใด ๆ และเครื่องคิดเลขตัวร้ายยังสามารถดาวน์โหลดไลบรารี "WindowsCodecs.dll" ที่ติดไวรัสมาพร้อมกับเครื่องคิดเลขได้ ซึ่งเครื่องคิดเลขเวอร์ชันที่ใหม่กว่าที่รวมอยู่ใน Windows จะไม่เสี่ยงต่อการเปลี่ยน DLL นั่นเอง

ส่วนแนวทางแก้ปัญหาจาก Microsoft นั้น ยังไม่ชัดเจนว่า Microsoft ได้อัปเดต Defender ให้รู้จักการโจมตีด้วยฟิชชิ่งประเภทนี้อย่างถูกต้องหรือไม่ และแหล่งข่าวไม่ได้ระบุว่าไฟล์มัลแวร์ที่ปลอมแปลงนั้นมีลักษณะเป็นอย่างไร ทางที่ดี ผู้ใช้ควรรอบคอบในการดาวน์โหลดไฟล์อยู่เสมอ ไม่ดาวน์โหลดไฟล์จากเว็บไซต์แปลก ๆ หรือไฟล์แนบจากอีเมลผู้ส่งที่ไม่รู้จัก ก็ช่วยลดความเสี่ยงที่เจอปัญหานี้ไปได้