แฮกเกอร์ยิงโฆษณาปลอมบน Facebook หลอกติดมัลแวร์ SYS01 stealer ปล้นบัญชีแบบด้าน ๆ

โฆษณาปลอมที่ผู้ใช้งานหลายคนมักจะพบเจอบน Facebook นั้นส่วนมากมักมาจากเพจปลอมต่าง ๆ ที่มักจะสังเกตได้ง่าย แต่เคยคิดบ้างไหมว่า ถ้าเพจจริงที่มีชื่อเสียงเป็นที่รู้จัก เกิดถูกแฮกมาเพื่อใช้งานในการยิงโฆษณาปลอมล่ะ ?

จากรายงานโดยเว็บไซต์ The Hacker News ได้รายงานถึงการตรวจพบแคมเปญการยิงโฆษณาปลอมเพื่อปล่อยมัลแวร์ (Malvertising) แคมเปญใหม่ โดยแคมเปญดังกล่าวนั้นถูกตรวจพบโดยทีมวิจัยจาก Bitdefender ซึ่งเป็นบริษัทนักพัฒนาซอฟต์แวร์แอนตี้ไวรัสชื่อดัง โดยทางทีมวิจัยได้อธิบายว่า แคมเปญใหม่ที่ถูกตรวจพบนั้นมีความแตกต่างไปจากเดิม เนื่องจากเป็นการแฮกเพจที่มีชื่อเสียงมาใช้งานในการหลอกลวงยิงโฆษณาปลอมเพื่อปล่อยมัลแวร์ประเภทขโมยข้อมูล (Infostealer) ที่มีชื่อว่า SYS01 Stealer ซึ่งมัลแวร์ตัวนี้ถึงแม้ความสามารถโดยทั่วไปจะเป็นไปในด้านการขโมยรหัสผ่าน และข้อมูลอ่อนไหวต่าง ๆ แต่จุดประสงค์มุ่งหมายที่แท้จริงคือ การขโมยรหัสสำหรับเข้าใช้งาน Facebook เพื่อที่จะนำเพจมาใช้ในการโฆษณาแพร่มัลแวร์ต่อไป

ทีมวิจัยยังได้รายงานอีกว่า มัลแวร์ SYS01stealer นั้นนอกจากจะมีความสามารถในการแพร่กระจายตัวเองบน Facebook แล้ว ความสามารถนี้ยังครอบคลุมในการยึดครองบัญชีโซเชียลมีเดียอื่น ๆ เช่น Youtube และ Linkedin ได้อีกด้วย โดยแฮกเกอร์นั้นจะทำการโฆษณาโดยแอบอ้างว่าเป็นเครื่องมือยอดนิยมต่าง ๆ เช่น ธีมของ Windows, ซอฟต์แวร์ AI, เครื่องมือสำหรับการตัดต่อรูปภาพ, และ VPN (Virtual Private Network)

ภาพจาก : https://thehackernews.com/2024/10/malvertising-campaign-hijacks-facebook.html

โดยในการเข้าสู่เครื่องของมัลแวร์ตัวนี้นั้นจะแบ่งเป็นหลายขั้นตอนด้วยกัน นั้นคือ หลังจากที่เหยื่อได้ทำการคลิกโฆษณาดังกล่าวแล้ว แฮกเกอร์ก็จะได้ข้อมูลบนเบราว์เซอร์ไป หลังจากนั้นมัลแวร์นกต่อในรูปแบบไฟล์บีบอัด .Zip ก็จะถูกปล่อยลงมาบนเครื่อง โดยไฟล์ที่บรรจุอยู่นั้นจะมีทั้งไฟล์สำหรับรัน (Executable) ที่ใช้ในการดาวน์โหลดไฟล์ .DLL ที่เป็นมัลแวร์ตัวจริงลงมา, ไฟล์ PowerShell Script ที่ใช้สำหรับการตรวจสอบว่าตัวมัลแวร์นั้นถูกรันอยู่บน Sandbox Mode หรือไม่ ซึ่งเป็นขั้นตอนหนึ่งในการต่อต้านการถูกวิเคราะห์โดยผู้เชี่ยวชาญด้านมัลแวร์, รวมไปถึงไฟล์ตั้งค่า Windows Defender Antivirus ที่จะเข้าไปปรับตั้งค่าใหม่ให้ไม่สามารถตรวจจับตัวมัลแวร์ได้ และเปิดทางให้มัลแวร์ขโมยข้อมูลในรูปแบบ PHP สามารถทำงานได้อย่างไม่มีติดขัดอีกด้วย

นอกจากการใช้โซเชียลมีเดียเพื่อการหลอกลวงในปล่อยมัลแวร์เพื่อขโมยบัญชีโซเชียลมีเดียของเหยื่อแล้ว แหล่งข่าวยังได้รายงานว่า มีการตรวจพบว่าแฮกเกอร์ได้มีการหลอกลวงเพื่อขโมยข้อมูลทางการเงินของเหยื่อที่มีการใช้งานเว็บไซต์สำหรับการขายตั๋วอีเวนท์ต่าง ๆ อย่าง EventBrite อีกด้วย โดยแฮกเกอร์จะทำการส่งอีเมลที่มีชื่อว่า noreply@events.eventbrite[.]com ซึ่งเรียกได้ว่าเป็นวิธีการฝ่าเครื่องมือกลั่นกรอง หรือ Filter ของแอปพลิเคชันอีเมลต่าง ๆ ได้อย่างเหนือชั้นเนื่องจากเป็นการส่งผ่านโดเมนของ Eventbrite ซึ่งเป็นโดเมนที่มีความน่าเชื่อถือสูง โดยบนอีเมลจะแอบอ้างว่าเหยื่อนั้นมีค่าใช้จ่ายค้างชำระ ให้ทำการชำระเงินโดยด่วน ซึ่งถ้าเหยื่อหลงเชื่อ กดตามลิงก์เข้าไป ทำการล็อกอิน และป้อนรหัสบัตรเครดิต ก็จะทำให้แฮกเกอร์ได้ข้อมูลสำคัญทั้งบัญชี Eventbrite และข้อมูลทางการเงินไปในที่สุด

ไม่เพียงเท่านั้น ทางทีมวิจัยยังเตือนให้ระมัดระวังกลเม็ดของแฮกเกอร์ที่มีการหลอกลวงให้รับงานปลอม โดยทางแฮกเกอร์จะแอบอ้างตนว่าเป็นตัวแทนจากแบรนด์ดังเช่น TikTok, Temu, และ Spotify หลอกลวงว่าเป็นงานที่ทำที่บ้าน สบาย ๆ แถมได้เงิน โดยเป็นการหลอกลวงให้เหยื่อ “ทำภารกิจ” ผ่านทางช่องทางต่าง ๆ เช่น ข้อความสั้น (SMS หรือ Short Message Service), และ แอปพลิเคชันส่งข้อความอย่าง Whatsapp โดยแฮกเกอร์จะสั่งงานให้เหยื่อลงทะเบียนบนเว็บไซต์ปลอมที่แฮกเกอร์วางกับดักไว้ด้วยการใช้โค้ด (Referral Code) ที่ได้รับมา และทำงานตามสั่ง เช่น เขียนรีวิวปลอม, การสั่งออเดอร์สินค้าตามที่กำหนดไว้, เล่นเพลงบางเพลงบน Spotify ซึ่งหลังจากที่ทำงานตามสั่งไปสักพัก แฮกเกอร์ก็จะเตือนว่า ตอนนี้บัญชีค่าตอบแทนของเหยื่อติดลบ ให้เติมเงินด้วยการใช้เหรียญคริปโตเคอร์เรนซีเพื่อเป็นการลงทุน ซึ่งถ้าเหยื่อหลงเชื่อ ก็จะสูญเสียเงินไปในที่สุด

นอกจากนั้น ยังมีการอ้างอิงถึงวิธีการหลอกให้รักเพื่อฉ้อโกง (Romance Scam) โดยจะมุ่งเน้นให้เหยื่อทำการลงทุนผ่านเหรียญคริปโตเคอร์เรนซี ที่ถูกเรียกว่า การเชือดหมู (Pig Butchering) อีกด้วย โดยทางทีมวิจัยไม่ได้ให้รายละเอียดไว้มากนัก เพียงแต่ระบุว่า มีความคล้ายคลึงกับวิธีการข้างต้น แต่เน้นไปในการใช้ความรักปลอม ๆ เพื่อหลอกลวงแทน