ในหมู่ซอฟต์แวร์สำหรับใช้ในการบีบอัดไฟล์นั้น แบรนด์ที่คุ้นเคยกันดีคงจะหนีไม่พ้น 2 แบรนด์หลัก ๆ อย่าง WinZip กับ WinRAR ที่ถึงแม้ในตอนหลังจะมีคู่แข่งอย่าง 7-Zip เข้ามาแย่งซีนไปแล้วก็ตาม ชื่อเสียงของทั้ง 2 แบรนด์ก็ยังคงเป็นที่กล่าวถึงอยู่บ่อย ๆ ในวงการ แต่สำหรับข่าววันนี้คงจะเป็นข่าวที่ไม่ค่อยดีเท่าไหร่สำหรับแบรนด์หลัง
ทาง Cloudflare ซึ่งเป็นผู้ใช้บริการด้าน Cloud สำหรับเว็บไซต์ชื่อดัง ได้ออกมาเปิดเผยว่ามีการตรวจพบพฤติกรรมของกลุ่มแฮกเกอร์จากรัสเซีย FlyingYeti ในการปล่อยมัลแวร์ด้วยการอาศัยช่องโหว่ของไฟล์ WinRAR เพื่อแพร่กระจายมัลแวร์ Cookbox ซึ่งแฮกเกอร์จะใช้การหลอกลวงเป้าหมายว่า ไฟล์ WinRAR ที่ส่งไปให้นั้นมีไฟล์แจ้งหนี้บรรจุอยู่ พร้อมคำขู่ในรูปแบบสร้างความหวาดกลัวแก่เหยื่อว่า ถ้าไม่ทำการเปิดไฟล์จะทำให้ตัวเองต้องสูญเสียการเข้าถึงบริการที่จำเป็น หรืออาจถูกดำเนินคดี ซึ่งหลังจากที่เหยื่อได้เปิดไฟล์ขึ้นมา ตัวไฟล์จะทำการรันโค้ด PowerShell เพื่อปล่อยมัลแวร์ Cookbox ลงสู่เครื่อง
ภาพจาก https://thehackernews.com/2024/05/flyingyeti-exploits-winrar.html
โดยการโจมตีดังกล่าวนั้น ทาง Cloudflare ได้ระบุว่า เป็นการใช้ช่องโหว่ CVE-2023-38831 ของตัวซอฟต์แวร์ WinRAR ที่เปิดโอกาสให้ผู้ไม่ประสงค์ดีสามารถปลอมนามสกุลไฟล์ที่บรรจุอยู่ในไฟล์ .rar ได้ ส่งผลให้แฮกเกอร์สามารถหลอกลวงเหยื่อให้เปิดไฟล์สำหรับการรันมัลแวร์ที่ปลอมนามสกุลเป็นไฟล์ที่เหยื่อไม่ระแคะระคาย อย่าง เช่น .pdf เป็นต้น
ภาพจาก https://blog.cloudflare.com/disrupting-flyingyeti-campaign-targeting-ukraine
สำหรับมัลแวร์ Cookbox นั้น ทางแหล่งข่าวระบุถึงความสามารถเพียงว่าเป็นมัลแวร์ประเภท PowerShell ที่ช่วยให้แฮกเกอร์สามารถรัน cmdlets ผ่านเซิร์ฟเวอร์ควบคุม (Command and Control หรือ C2) สู่เครื่องของเหยื่อเพื่อการโจมตีในระลอกถัดไป
เหตุการณ์การใช้มัลแวร์ประเภทดังกล่าวนั้น ในปัจจุบันถูกพบในประเทศยูเครนโดยมีผู้กระทำเป็นกลุ่มแฮกเกอร์จากรัสเซีย ซึ่งมีเป้าหมายที่เกี่ยวพันกับเหตุการณ์สงครามระหว่างประเทศที่กำลังดำเนินอยู่ในปัจจุบัน แต่ถึงกระนั้นการโจมตีในรูปแบบเดียวก็อาจสามารถเกิดขึ้นในที่อื่นในโลกได้เช่นเดียวกัน อีกทั้งยังเป็นการใช้ช่องโหว่ของซอฟต์แวร์และสกุลไฟล์ที่เป็นที่นิยมอีกด้วย ทางทีมข่าวจึงขอลงไว้เพื่อให้ได้มีความรู้ทัน และสามารถรับมือการโจมตีได้อย่างมีประสิทธิภาพมากยิ่งขึ้น
|