ทุกวันนี้เวลาคุณเปิด Google เพื่อค้นหาอะไรสักอย่าง คุณก็มักจะค้นพบว่ามีเหล่านักทำ SEO สายดำ สายเทา เอาคำที่คุณใช้ค้นหานั้นมาสอดแทรกไว้บนเว็บเกี่ยวกับพนัน หรือแม้กระทั่งเว็บเกี่ยวกับไวรัส มัลแวร์ไปเสียหมด จนคุณเองก็อาจจะเริ่มรู้สึกหวาดระแวง และในช่วงที่ผ่านมาทางทีมข่าวเราก็ได้มีการเสนอเรื่องการที่แฮกเกอร์นั้นใช้โฆษณาปลอมบน Google เพื่อหลอกให้คนคลิกเพื่อแพร่กระจายมัลแวร์ไปครั้งหนึ่งแล้ว แต่ข่าวนั้นจะไม่ใช่ข่าวสุดท้าย เพราะตอนนี้มีกรณีดังกล่าวเกิดขึ้นอีกครั้ง
จากรายงานโดยทีมวิจัยของ eSantire ซึ่งเป็นบริษัทด้านความปลอดภัยทางไซเบอร์ ได้พบว่าทีมแฮกเกอร์ FIN7 ซึ่งเป็นทีมแฮกเกอร์ที่ก่อภัยคุกคามมาตั้งแต่ปี ค.ศ. 2013 (พ.ศ. 2556) ตั้งแต่การแฮกจุดบริการขาย (Point-of-Sale (POS)) เพื่อขโมยข้อมูลทางการเงินอย่างเช่น ข้อมูลบนบัตรเครดิต และบัตรเดบิต ไปจนถึงการปล่อยมัลแวร์เรียกค่าไถ่ หรือแรนซัมแวร์ (Ransomware) ใส่บริษัทขนาดยักษ์ทั่วโลก
ตอนนี้ได้กลับมาพร้อมกับกลยุทธ์การปล่อยมัลแวร์แบบใหม่ ด้วยการสร้างเว็บไซต์ปลอมของบริษัทที่มือชื่อเสียงไม่ว่าจะเป็น AnyDesk, WinSCP, Asana และ BlackRock เป็นต้น เพื่อนำมาใช้ในการทำโฆษณาหลอกลวงบน Google Ads ในการปล่อยมัลแวร์ NetSupport RAT ซึ่งเป็นมัลแวร์ประเภทเข้าถึงข้อมูลจากทางไกล (Remote Access Trojan) ด้วยการหลอกให้เหยื่อดาวน์โหลดไฟล์ MSIX ซึ่งเป็นไฟล์สำหรับการติดตั้งแอปพลิเคชันมาจากเว็บไซต์หลอกลวงดังกล่าว โดยหลอกว่าเป็นส่วนเสริมของเว็บเบราว์เซอร์ที่จำเป็นต้องติดตั้งด้วย จึงจะเข้าใช้งานได้
ภาพจาก https://thehackernews.com/2024/05/fin7-hacker-group-leverages-malicious.html
ซึ่งไฟล์ MSIX แฝงมัลแวร์ดังกล่าวนั้น หลังจากที่เหยื่อรันไฟล์ขึ้นมา ตัวไฟล์จะทำการรันสคริปท์ PowerShell ขึ้นมาเพื่อเก็บข้อมูลเชิงระบบของตัวเครื่อง และทำการเชื่อมต่อกับระบบของเซิร์ฟเวอร์ควบคุม (Command and control หรือ C2) เพื่อรันสคริปท์ PowerShell ตัวที่ 2 ซึ่งจะเป็นการดาวน์โหลดไฟล์มัลแวร์ตัวจริงลงมาที่เครื่องของเหยื่อ ซึ่งมัลแวร์ดังกล่าวนั้นมีจุดประสงค์เพื่อแฝงตัวขโมยข้อมูลจากเหยื่อเป็นหลัก
จากรายงานของทาง ไมโครซอฟท์ นั้นพบว่า เหยื่อที่ติดมัลแวร์ตัวนี้ มีความเป็นไปได้สูงที่ทางแฮกเกอร์จะทำการปล่อยมัลแวร์ประเภทเรียกค่าไถ่ หรือแรนซัมแวร์ (Ransomware) เข้าสู่เครื่องของเหยื่อ เพื่อทำการกรรโชกทรัพย์ต่อไป
|