พบมัลแวร์ NodeStealer มุ่งโจมตีบัญชีโฆษณาบน Facebook เพื่อขโมยข้อมูลบัตรเครดิต

ในยุคแห่งการหลอกลวงนั้น บัญชี Facebook มักจะเป็นบัญชีบริการออนไลน์ที่แฮกเกอร์หมายตาอยู่เป็นลำดับแรก ๆ เนื่องมาจากการที่สามารถถูกนำไปใช้งานต่อได้อย่างหลากหลาย ไม่ว่าจะเป็น การนำเอาไปหลอกลวงเหยื่อรายอื่นต่อด้วยการขโมยตัวตนออนไลน์ ไปจนถึงการนำเอาบัญชีโฆษณาไปใช้งานต่อ

จากรายงานโดยเว็บไซต์ The Hacker News ได้รายงานถึงการตรวจพบการแพร่ระบาดของมัลแวร์ NodeStealer ซึ่งเป็นมีแวร์ประเภทเพื่อการขโมยข้อมูล (Infostealer) ตัวใหม่โดยทีมวิจัยจาก Netskope Threat Labs ซึ่งเป็นบริษัทผู้เชี่ยวชาญในด้านการตรวจจับ และพัฒนาเครื่องมือรักษาความปลอดภัยไซเบอร์ในระดับองค์กร โดยมัลแวร์ดังกล่าวนั้นถูกพัฒนาขึ้นบนพื้นฐานของภาษา Python โดยกลุ่มแฮกเกอร์ชาวเวียดนามที่มีประวัติการในก่อการจารกรรมบัญชี Facebook มาแล้วในอดีต ซึ่งเป้าในการจารกรรมบัญชีนั้นทางทีมวิจัยระบุว่า มัลแวร์ดังกล่าวได้มีการออกแบบมาให้ติดตั้งลงบนเครื่องของเหยื่อเพื่อเก็บข้อมูลบัญชีที่อยู่นอกประเทศเวียดนามเท่านั้น ซึ่งคาดว่าจะเป็นการหลบเลี่ยงการตรวจจับโดยหน่วยงานรัฐของทางประเทศเวียดนามอันเป็นที่อยู่ของแฮกเกอร์

โดยการแพร่กระจายของมัลแวร์นั้นทางแหล่งข่าวไม่ได้มีการระบุว่าเป็นการแพร่กระจายโดยการใช้ช่องทางใด ? และมีขั้นตอนทำงานเพื่อติดตั้งตนเองลงสู่เครื่องได้อย่างใด ? แต่ได้มีการอธิบายถึงการทำงานของมัลแวร์ดังกล่าวโดยเบื้องต้นคือ หลังจากที่มัลแวร์ NodeStealer ได้ติดตั้งลงสู่เครื่องของเหยื่อเป็นที่เรียบร้อยแล้ว ตัวมัลแวร์ก็จะใช้ประโยชน์จากไฟล์ Cookies ในเครื่องเพื่อดึงเอา Token ออกมาเพื่อล็อกอินเข้าสู่บัญชีโฆษณาของเหยื่อด้วยการใช้ Facebook Graph API ล็อกอินเข้าผ่านทาง adsmanager.facebook[.]com เพื่อทำการเก็บข้อมูลต่าง ๆ ที่เกี่ยวข้องกับบัญชีโฆษณา เช่น ข้อมูลบัตรเครดิต, การใช้จ่ายต่าง ๆ และข้อมูลอื่น ๆ ที่เกี่ยวข้องกับบัญชีโฆษณา และบัญชีธุรกิจ (Business Account) ของเหยื่อ

ภาพจาก : https://thehackernews.com/2024/11/nodestealer-malware-targets-facebook-ad.html

โดยการเข้าถึงข้อมูลบนบัญชีนี้นั้น ทางทีมวิจัยได้ระบุว่า ไม่ได้มีจุดประสงค์เพื่อการขโมยบัญชีดังกล่าวไปใช้งานเอง แต่เป็นเพียงการขโมยข้อมูลเพื่อส่งกลับไปให้กับทางแฮกเกอร์ โดยจุดประสงค์ของการขโมยข้อมูลดังกล่าวนั้น ทางทีมวิจัยคาดการณ์ว่า อาจเป็นเพื่อการนำเอาไปใช้ในการยิงโฆษณาเพื่อแพร่กระจายมัลแวร์ (Malvertising) ซึ่งในระยะหลังนั้นมักจะเป็นการยิงโฆษณาหลอกลวงเหยื่อว่า เป็นการแจกให้ดาวน์โหลดซอฟต์แวร์ หรือวิดีโอเกมชื่อดังแบบฟรี ๆ

นอกจากนั้น ทางทีมวิจัยยังได้ระบุอีกว่า มีการตรวจพบว่ามัลแวร์ดังกล่าวนั้นมีการใช้งานเครื่องมือที่อยู่บน Windows อย่าง Windows Restart Manager เพื่อทำการปลดล็อก SQLite Database ที่อยู่บนเว็บเบราว์เซอร์ โดยทางทีมวิจัยคาดว่าจะเป็นการทำเพื่อใช้ในการส่งข้อมูลบัตรเครดิตที่ถูกบันทึกอยู่บนเว็บเบราว์เซอร์ต่าง ๆ ไปให้กับทางแฮกเกอร์ เรียกได้ว่าผู้ที่ติดมัลแวร์ดังกล่าวนั้นสามารถถูกขโมยข้อมูลได้ทั้งจากที่บันทึกไว้บน Facebook และเว็บเบราว์เซอร์ เลยทีเดียว แต่เนื่องจากทางทีมวิจัยไม่ได้มีการระบุว่าสามารถติดมัลแวร์ดังกล่าวได้อย่างไร ดังนั้นโดยเบื้องต้น ทางทีมข่าวขอให้ผู้ใช้งานระมัดระวังในการดาวน์โหลดไฟล์แปลกปลอมเป็นเบื้องต้นไปพลางก่อนในระหว่างที่ยังไม่มีการอัปเดตข้อมูลเกี่ยวกับมัลแวร์ตัวดังกล่าว เพื่อรักษาความปลอดภัยของระบบโดยเบื้องต้น