แคมเปญ ClearFake เข้ายึดเว็บกว่า 9,300 แห่ง ติดตั้ง reCaptcha ปลอมหลอกปล่อยมัลแวร์ Lumma

การแพร่กระจายมัลแวร์ในปัจจุบันนั้น นอกจากจะใช้การแพร่กระจายมัลแวร์ด้วยวิธีการทั่วไป เช่น หลอกดาวน์โหลดไฟล์ หรือหลอกคลิกลิงก์ เป็นต้น แต่เร็ว ๆ นี้ การใช้เครื่องมืออย่าง Captcha ปลอมเพื่อหลอกลวงให้เหยื่อติดตั้งมัลแวร์ หรือที่เรียกว่า ClickFix นั้นก็ได้กลายมาเป็นที่นิยมมากขึ้นเรื่อย ๆ

จากรายงานโดยเว็บไซต์ The Hacker News ได้รายงานถึงการตรวจพบแคมเปญการปล่อยมัลแวร์ที่มีชื่อว่า ClearFake ซึ่งแฮกเกอร์นั้นจะใช้วิธีการเข้ายึดเว็บไซต์เพื่อใช้ในการโจมตีแบบ ClickFix หรือการหลอกเหยื่อให้ทำตาม Captcha บนเว็บไซต์ที่แฮกเกอร์สามารถยึดมาได้ เพื่อที่จะนำไปสู่การติดตั้งมัลแวร์ลงบนเครื่องของเหยื่อ โดยแคมเปญในครั้งนี้นั้น ทางทีมวิจัยจาก Sekoia ซึ่งเป็นบริษัทผู้เชี่ยวชาญด้านการรักษาความปลอดภัยทางไซเบอร์ ได้ตรวจพบว่า มีมากกว่า 9,300 เว็บไซต์ที่ถูกแฮกเกอร์ยึดผ่านแคมเปญนี้ และถูกแปลงให้เป็นเว็บไซต์อันตรายเป็นที่เรียบร้อยแล้ว

ซึ่งแคมเปญ ClearFake นี้ก็ไม่ได้เป็นแคมเปญที่พึ่งเริ่มมีมา แต่ได้เริ่มดำเนินการมาตั้งแต่ในช่วงปี ค.ศ. 2023 (พ.ศ. 2566) ซึ่งแต่เดิมนั้นจะเป็นเพียงการหลอกให้ผู้ใช้งานทำการดาวน์โหลดอัปเดตของเว็บเบราว์เซอร์ปลอมมาติดตั้งเพื่อแพร่กระจายมัลแวร์เท่านั้น ซึ่งเว็บไซต์ที่ถูกแฮกด้วยแคมเปญนี้จะเป็นเว็บไซต์ที่ถูกสร้างขึ้นบนพื้นฐานของ Wordpress ซึ่งที่แตกต่างไปจากการโจมตีแบบ ClickFix ของกลุ่มอื่น นั่นคือมีการนำเอาเทคโนโลยีบล็อกเชน อย่าง EtherHiding สำหรับการดาวน์โหลดมัลแวร์ (Payload) ผ่านทางการใช้ Smart Contract ของเครือข่าย Binance's Smart Chain (BSC) ทำให้ตัวเครือข่ายมีความคงทนจากการถูกปราบปรามมากกว่าเครือข่ายแบบอื่น ซึ่งทางทีมวิจัยกล่าวว่า เป็นการนำเอาศักยภาพของเทคโนโลยี Web3 เข้ามาใช้งาน

โดยบนเครือข่าย BSC นั้น ทางทีมวิจัยได้เปิดเผยว่าแฮกเกอร์ได้ทำการบรรจุไฟล์ที่เกี่ยวข้องจำนวนมากไว้ ไม่ว่าจะเป็น โค้ดJavaScript, AES key, ไฟล์ HTML ที่บรรจุ URLs ที่จะพาไปยังเว็บไซต์หลอกลวง,และ คำสั่ง ClickFix PowerShell โดยไฟล์เหล่านี้จะถูกปล่อย (Deployed) เมื่อเป็นไปตามเงื่อนไขที่อยู่บน Smart Contract

ต่อมาในเดือน พฤษภาคม ค.ศ. 2024 (พ.ศ. 2567) ตัวแคมเปญได้พัฒนาไปสู่การโจมตีในรูปแบบ ClickFix ซึ่งเป็นการหลอกลวงให้เหยื่อทำตามคำสั่งที่ระบุไว้บนหน้าจอเพื่อทำการรันโค้ดติดตั้งมัลแวร์ลงบนเครื่องของเหยื่อเอง ซึ่งเป็นวิธีการแบบวิศวกรรมทางสังคม (Social Engineering) รูปแบบหนึ่งผ่านทางคำสั่งบน reCaptcha โดยขั้นตอนการโจมตีใส่ผู้เข้าเยี่ยมชมเว็บไซต์นั้น จะเริ่มจากการที่ตัวเว็บไซต์จากทำการโหลด JavaScript จากเครือข่าย BSC ซึ่งจะนำไปสู่การดาวน์โหลโค้ด ClickFix แบบเข้ารหัสลงมาจากที่ฝากไว้บน CloudFlare อีกที โดยถ้าผู้ใช้งานทำตามคำสั่งที่อยู่บน Captcha นั้น ก็จะนำไปสู่การรันสคริปท์ PowerShell บนเครื่องของเหยื่อเพื่อดาวน์โหลดมัลแวร์นกต่อที่มีชื่อว่า Emmenhtal Loader (หรือ Peaklight) ลงมา เพื่อใช้ในการดาวน์โหลดมัลแวร์ Lumma Stealer ซึ่งเป็นมัลแวร์เพื่อการขโมยข้อมูล หรือ Infostealer ลงมาติดตั้งบนเครื่องของเหยื่อเพื่อทำการขโมยข้อมูล

นอกจากนั้นทางทีมวิจัยยังพบอีกว่า ในช่วงเดือนมกราคมที่ผ่านมานั้น ได้มีการตรวจพบว่าแฮกเกอร์ได้มีการใช้แคมเปญดังกล่าวเพื่อปล่อยมัลแวร์ Vidar Stealer อีกด้วย โดยทีมวิจัยยังพบอีกว่า มีเว็บไซต์ตัวแทนจำหน่ายรถยนต์จำนวนมากกว่า 100 แห่งที่ถูกแฮกเพื่อใช้ในการดำเนินการแคมเปญดังกล่าว โดยจะเป็นการใช้งานเพื่อปล่อยมัลแวร์ SectopRAT ซึ่งเป็นมัลแวร์ประเภทเข้าควบคุมเครื่องเหยื่อจากระยะไกล (RAT หรือ Remote Access Trojan) และยังคาดการณ์อีกว่าปัจจุบันนั้นมีผู้ตกเป็นเหยื่อของแคมเปญ ClearFake โดยรวมไปแล้วมากกว่า 2 แสนรายทั่วโลก