ผูู้เชี่ยวชาญเตือน มัลแวร์ SecTopRAT แพร่กระจายผ่าน Google Ads และแอป Chrome ปลอม ข่าวไอที

ผูู้เชี่ยวชาญเตือน มัลแวร์ SecTopRAT แพร่กระจายผ่าน Google Ads และแอป Chrome ปลอม

ภาพจาก : https://www.bleepingcomputer.com/news/security/hackers-use-google-search-ads-to-steal-google-ads-accounts/

เมื่อ : 4 มีนาคม 2568

| ผู้เข้าชม : 700

เขียนโดย : นักเขียน : Editor

Sarun_ss777

A- A+

แชร์หน้าเว็บนี้ :

ในช่วงหลายเดือนที่ผ่านมานั้น การแพร่กระจายผ่านทางโฆษณาอย่าง Google Ads นับว่าเป็นวิธีการยอดนิยมที่เริ่มเข้ามาชิงพื้นที่ในการแพร่กระจายมัลแวร์จากโฆษณาบนโซเชียลมีเดีย มีมัลแวร์หลากหลายชนิดถูกเผยแพร่ทางช่องทางดังกล่าว

จากรายงานโดยบริษัท Malwarebytes ซึ่งเป็นผู้พัฒนาเครื่องมือต่อต้านมัลแวร์ที่มีชื่อเสียง ได้รายงานถึงการที่แฮกเกอร์นั้นได้ใช้แคมเปญโฆษณาที่ถูกสร้างขึ้นบน Google Ads ซึ่งเป็นแพลตฟอร์มโฆษณาสำหรับการทำการตลาดบน Google ในรูปแบบ Search Engine Marketing (SEM) ควบคู่กับการสร้างเว็บไซต์ปลอมผ่านทาง https://sites[.]google[.]com ซึ่งเป็นเครื่องมือสำหรับการสร้างเว็บไซต์ฟรีจากทาง Google มาใช้ในการหลอกลวงเหยื่อให้คลิกเข้าเว็บไซต์ปลอมผ่านทางโฆษณา ด้วยมีจุดประสงค์ในการปล่อยมัลแวร์ SecTopRAT ซึ่งเป็นมัลแวร์ประเภทเข้าสู่ระบบจากระยะไกล (RAT หรือ Remote Access Trojan) ลงสู่เครื่องเหยื่อตัวหนึ่ง

บทความเกี่ยวกับ Google อื่นๆ

โดยขั้นตอนในการแพร่กระจายนั้นก็เรียกว่าไม่มีอะไรยุ่งยาก โดยแฮกเกอร์จะใช้เครื่องมือสร้างเว็บไซต์ฟรีดังกล่าว สร้างเว็บไซต์ปลอมที่คล้ายคลึงกับเว็บไซต์สำหรับการดาวน์โหลดซอฟต์แวร์หรือแอปพลิเคชันที่มีชื่อเสียง (ในที่นี้คือเว็บไซต์ดาวน์โหลด Chrome ปลอม) หลังจากนั้นแฮกเกอร์จะทำการยิงโฆษณาของเว็บไซต์ดังกล่าวผ่านทางบัญชี Google Ads โดยมีการตกแต่งตัวคำโฆษณาต่าง ๆ ให้คล้ายคลึงกับเว็บไซต์อย่างเป็นทางการเพื่อหลอกล่อให้เหยื่อที่ค้นหาแอปพลิเคชันดังกล่าวหลงเข้าเว็บไซต์ผิด

ภาพจาก : https://www.malwarebytes.com/blog/news/2025/02/sectoprat-bundled-in-chrome-installer-distributed-via-google-ads

หลังจากที่เหยื่อเข้าสู่เว็บไซต์ดังกล่าวแล้วหลงเชื่อว่าเป็นเว็บไซต์ของจริงและดาวน์โหลดแอปพลิเคชันปลอมลงสู่เครื่องพร้อมทั้งทำการติดตั้งเป็นที่เรียบร้อยแล้ว (ในที่นี้คือไฟล์ GoogleChrome.exe ซึ่งเป็นไฟล์ติดตั้ง Google Chrome ปลอม) ตัวติดตั้งแอปปลอมก็จะทำการติดต่อกับ hxxps[://]launchapps[.]site/getCode[.]php เพื่อรับคำสั่งการ (Instruction) ที่จำเป็นลงมาสู่เครื่อง นอกจากนั้นตัวติดตั้งยังมีการร้องขอสิทธิ์การเข้าถึงตัวระบบในระดับผู้ดูแล (Admin หรือ Administrator) เพื่ออำนวยความสะดวกในการฝังตัวและเข้าควบคุมระบบอีกด้วย นอกจากนั้นตัวสคริปท์ PowerShell ของตัวแอปพลิเคชันปลอมยังได้มีการส่วนข้อยกเว้น (Exclusion Path) ลงไปในโฟลเดอร์ %appdata%Roaming เพื่อช่วยในการเลี่ยงการตรวจจับจาก Windows Defender อีกด้วย

หลังจากนั้นตัวติดตั้งแอปปลอมจะทำการดาวน์โหลดไฟล์เข้ารหัสลงมาจาก hxxps[://]launchapps[.]site/3[.]php?uuid={}_uuid แล้วทำการถอดรหัสออกมาเป็นไฟล์สำหรับรันมัลแวร์ที่มีชื่อว่า decrypted.exe (PDB path: D:awix4wix4buildburnReleasex64burn.pdb) แล้วทำการวางตัวไฟล์ดังกล่าวลงในโฟลเดอร์ %AppData%RoamingBackupWin เพื่อทำการคลายไฟล์ปล่อยตัวไฟล์มัลแวร์ที่แฝงอยู่ภายใต้ชื่อไฟล์ที่มีชื่อว่า waterfox.exe ลงมา (ไฟล์ดังกล่าวเป็นตัวที่ทำเลียนแบบแอปพลิเคชัน WaterFox ซึ่งเป็นแอปพลิเคชันแบบ Open Source ที่สร้างขึ้นมาบนพื้นฐานของ FireFox)

ต่อจากนั้นตัวมัลแวร์ก็จะเริ่มทำการแทรกโค้ดลงไปบน Process ที่มีชื่อว่า MSBuild.exe เพื่อเริ่มทำการสื่อสารระหว่างตัวมัลแวร์กับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ที่มีที่อยู่บนหมายเลข IP 45.141.84[.]208 แล้วเริ่มทำงานในทันที และเพื่อให้การหลอกลวงเหยื่อมีความแนบเนียนยิ่งขึ้น ตัวติดตั้งจะทำการติดตั้งแอปพลิเคชัน (Google Chrome) ตัวจริงลงบนเครื่องของเหยื่อเพื่อไม่ให้เหยื่อไหวตัวทัน สำหรับแคมเปญการโจมตีนั้น ทางทีมวิจัยยังได้พบจากการตรวจสอบในโค้ดของมัลแวร์ว่า แฮกเกอร์ยังมีการยิงโฆษณาแอปพลิเคชันปลอมอื่น ๆ อย่างเช่น Notion และ Grammarly อีกด้วย

ภาพจาก : https://www.malwarebytes.com/blog/news/2025/02/sectoprat-bundled-in-chrome-installer-distributed-via-google-ads

ถึงแม้ทาง Malwarebytes จะไม่ได้อธิบายเพิ่มเติมว่ามัลแวร์ดังกล่าวมีประสิทธิภาพในการจู่โจมเครื่องของเหยื่ออย่างไร แต่ก็ได้มีการให้ข้อมูลอื่น ๆ ที่เป็นประโยชน์ในการตรวจจับมัลแวร์ดังกล่าวมาให้ด้วย ดังนี้