มุขอมตะ? มัลแวร์ FakeBat Loader ใช้ SEO ดันเว็บปลอมขึ้นหน้าแรก หลอกคนให้ดาวน์โหลดมัลแวร์ลงเครื่อง

SEO (Search Engine Optimization) เป็นเครื่องมือยอดฮิตเสมอของนักการตลาดในการดันเว็บไซต์ขึ้นหน้าแรกเวลาเสิร์ช แต่ในระยะหลังนั้นแฮกเกอร์มักจะนำเอามาใช้งานบ่อยครั้ง เพื่อหลอกให้เหยื่อคิดว่าเป็นเว็บไซต์จริงจนติดมัลแวร์

จากรายงานโดยทีมวิจัยแห่งบริษัท Sekoia ซึ่งเป็นบริษัทผู้เชี่ยวชาญด้านการจัดการความปลอดภัยไซเบอร์ ได้รายงานถึงการโจมตีที่ทีมแฮกเกอร์ใช้ วิธีการทาง SEO เพื่อดันให้เว็บไซต์ปลอมแฝงมัลแวร์ขึ้นหน้าแรก ด้วยการปลอมหน้าเว็บไซต์เป็นเว็บไซต์สำหรับดาวน์โหลดซอฟท์แวร์ชื่อดังหลากหลายแบรนด์ เช่น Microsoft Teams, Google Chrome, Bandicam, Notion, Inkscape, และ Zoom เป็นต้น แต่ในครั้งนี้เป็นล่อลวงที่ไม่ได้มาในรูปแบบให้ดาวน์โหลดมัลแวร์โดยตรง แต่เป็นการโหลดมัลแวร์นกต่อ หรือที่เรียกว่า Loader ที่มีชื่อว่า FakeBat 

ซึ่งมัลแวร์ดังกล่าวนั้นจะฝังตัวอยู่กับซอฟท์แวร์แท้ที่สามารถใช้งานได้จริง กล่าวคือเมื่อเหยื่อติดซอฟท์แวร์แล้วก็จะเข้าใจว่าเป็นการติดตั้งซอฟท์แวร์ตามปกติ แต่ก็ได้ติดตั้งตัวมัลแวร์ลงเครื่องอย่างไม่รู้ตัวด้วย โดยมัลแวร์ FakeBat จะถูกแพครวมกับซอฟท์แวร์ที่กล่าวมา หลังจากที่มัลแวร์ดังกล่าวได้ทำการติดตั้งสู่เครื่องของเหยื่อเป็นที่เรียบร้อยแล้ว ก็จะเริ่มทำงานด้วยการดาวน์โหลดมัลแวร์ตัวหลักที่แฮกเกอร์ต้องการจะใช้งานกับเครื่องเหยื่อ โดยมัลแวร์ที่รองรับการใช้งาน Loader ตัวนี้นั้นมีอยู่หลากหลายชนิด เช่น IcedID, Lumma, RedLine, SmokeLoader, SectopRAT, และ Ursnif  นอกจากนั้นแล้วมัลแวร์ตัวดังกล่าวยังเป็นที่รู้จักในชื่ออื่น ๆ ด้วย เช่น EugenLoader และ PaykLoader อีกด้วย

โดยในระยะแรกนั้นจะมาในรูปแบบไฟล์ MSI แต่หลังจากเดือนกันยายน ค.ศ. 2023 (พ.ศ. 2566) เป็นต้นมา แฮกเกอร์จะใช้ไฟล์ในรูปแบบ MSIX ที่มาพร้อมกัน Digital Signature เพื่อหลอกว่ามี Certificate ที่ถูกต้อง อนุญาตให้ติดตั้งลงเครื่องได้ เพื่อหลอกลวงระบบรักษาความปลอดภัยไซเบอร์อย่าง Microsoft SmartScreen

สำหรับตัว FakeBat จะเป็นมัลแวร์ประเภท Loader ที่แฮกเกอร์สามารถซื้อจากตลาดมืดมาใช้งานได้ในรูปแบบ Loader-as-a-Services (LaaS) โดยราคาที่ประกาศขายในปัจจุบันนั้นมีแต่ตั้ง 1,000 ดอลลาห์สหรัฐ ต่อสัปดาห์ (ประมาณ 36,000 บาท) และ 2,500 ดอลลาห์สหรัฐ ต่อเดือน (ประมาณ 91,500 บาท) สำหรับไฟล์ติดตั้งแบบ MSI, 1,500 ดอลลาห์สหรัฐ ต่อสัปดาห์ (ประมาณ 55,500 บาท) และ 4000 ดอลลาห์สหรัฐต่อเดือน (ประมาณ 145,500 บาท) สำหรับไฟล์ในรูปแบบ MSIX, และ 1,800 ดอลลาห์สหรัฐต่อสัปดาห์ (ประมาณ 65,500 บาท) และ 8,000 ดอลลาห์สหรัฐต่อเดือน (ประมาณ 291,200 บาท) สำหรับไฟล์แบบ MSI พร้อม Signatures Package

นอกจากการใช้วิธีการหลอกลวงผ่านวิธี SEO แล้ว ทาง Sekoia ยังตรวจพบการใช้วิธีการอื่น ๆ ในการล่อลวง เช่น การใช้งาน Google Ads เพื่อยิงโฆษณาปลอม ๆ หลอกให้เหยื่อคลิ๊กลิงค์เข้าไปดาวน์โหลด, การหลอกให้ดาวน์โหลดตัวอัปเดตเว็บเบราว์เซอร์หลังจากที่เข้าเยี่ยมชมเว็บไซต์ที่แฮกเกอร์ทำการแฮกมาใช้งานเป็นฐานปล่อยมัลแวร์, ไปจนถึงการใช้วิธีเชิงวิศวกรรมทางสังคม (Social Engineering) เพื่อหลอกลวงเหยื่อให้หลงเชื่อดาวน์โหลดมาตามที่แฮกเกอร์และเครือข่ายสั่ง โดยทางทีมวิจัยว่า มีแฮกเกอร์ชื่อดังอย่างน้อย 3 กลุ่มที่เกี่ยวข้องกับการปล่อยมัลแวร์ตัวดังกล่าว เช่น FIN7, Nitrogen, และ BATLOADER เป็นต้น

ทางทีมงาน Sekoia ยังให้ข้อสังเกตอีกว่า ทางแฮกเกอร์ได้ทำการกำหนดเป้าหมายการปล่อยมัลแวร์ให้ตรงเป้าหมายที่ต้องการอย่างแม่นยำมากขึ้นด้วยการกำหนดค่า เช่น User-Agent value,IP address, และ location ไว้บนเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) เพื่อทำการกลั่นกรองกลุ่มเป้าหมายที่ไม่ต้องการออกไป

จะเห็นได้ว่า แม้การ Search Engine เช่น Google จะมีการกลั่นกรองอย่างเข้มงวด แต่ก็ยังมีทั้งเว็บไซต์ปลอมปรากฎขึ้นมาเพื่อหลอกลวงให้ดาวน์โหลดมัลแวร์ ทั้งการค้นหาแบบปกติ และผ่านโฆษณา ดังนั้น ผู้ใช้งานต้องมีความระมัดระวังและหมั่นสังเกตสิ่งผิดปกติให้มาก เพื่อหลีกเลี่ยงข้อผิดพลาดที่อาจนำภัยมาสู่เครื่อง และผู้ใช้งาน