แฮกเกอร์กลุุ่ม DriveSurge ใช้กลยุทธ์ ClickFix ควบอัปเดตปลอม มุ่งปล่อยมัลแวร์เล่นงานผู้ใช้งาน Windows และ macOS

กลยุทธ์ในการปล่อยมัลแวร์อย่างหนึ่งที่ได้รับความนิยมอย่างมากในปัจจุบัน คือ การใช้งานการแจ้งเตือนปลอมเพื่อหลอกให้เหยื่อรันสคริปท์โดยอ้างว่าเป็นการแก้ไขข้อผิดพลาดแต่แท้จริงเป็นการดาวน์โหลดและติดตั้งมัลแวร์ หรือที่เรียกว่า ClickFix  และวิธีการนี้ก็ได้ตกเป็นข่าวอีกครั้ง

จากรายงานโดยเว็บไซต์ SCWorld ได้กล่าวถึงการที่ทางทีมวิจัยจาก Silent Push บริษัทผู้เชี่ยวชาญด้านการป้องกันภัยไซเบอร์ ได้ตรวจพบแคมเปญใหม่จากกลุ่มแฮกเกอร์ที่มีชื่อว่า DriveSurge ซึ่งเป็นกลุ่มแฮกเกอร์ที่เป็นกลุ่มผู้ขายช่องทางเข้าถึงระบบ (Initial Access Broker) ที่เข้ามาทำการแฮกเว็บไซต์ต่าง ๆ เพื่อดึงเหยื่อเข้าไปยังหน้าเพจปลอมด้วยระบบจัดการการจราจรของข้อมูล (Traffic Distribution System) ที่มีชื่อว่า zTDS ซึ่งปลายทางที่พาเหยื่อเข้าไปนั้นจะมี 2 อย่าง คือ

ภาพจาก : https://www.bleepingcomputer.com/news/security/hackers-hijack-thousands-of-sites-for-clickfix-and-fakeupdate-attacks/

• FakeUpdate ซึ่งเป็นหน้าเพจพร้อมคำเตือนให้เหยื่อทำการดาวน์โหลดอัปเดต (ปลอม) ของเว็บเบราว์เซอร์ที่เหยื่อใช้งานอยู่ ซึ่งจะนำไปสู่การติดตั้งมัลแวร์ในท้ายที่สุด
• ClickFix ซึ่งสามารถนำไปสู่การติดตั้งมัลแวร์ผ่านทางสคริปท์ PowerShell (สำหรับระบบ Windows) หรือมัลแวร์สำหรับการขโมยข้อมูลบน Clipboard (สำหรับผู้ใช้งาน macOS)

นอกจากนั้นแล้วทางทีมวิจัยยังได้ตรวจพบเทคนิคการเข้าโจมตีเว็บไซต์ที่กลุ่มแฮกเกอร์ดังกล่าวใช้อีกมากมาย เช่น การใช้การยิง JavaScript (JavaScript Injection) เพื่อแทรกคอนเทนต์ลงไปบนเว็บไซต์ โดยมีเว็บไซต์มากกว่า 80 แห่งถูกโจมตีด้วยเทคนิคนี้ของทางกลุ่มแฮกเกอร์อีกด้วย