EdgeWave บริษัทรักษาความปลอดภัยเกี่ยวกับอีเมล ค้นพบแคมเปญ Phishing และ Malspam โดยผู้โจมตีจะส่งอีเมลที่ปลอมเป็นหน้ายืนยันการสั่งซื้อของ Amazon ที่ดูน่าเชื่อถือ และมีหัวข้อ (Subject) ของอีเมลว่า "Your Amazon.com order", " Amazon order details " และ " Your order 162-2672000-0034071 has shipped" เป็นต้น
เมื่อเปิดอีเมลจะเห็นหน้ายืนยันการสั่งซื้อที่ระบุว่ารายการสั่งซื้อได้ถูกขนส่ง (Shipped) ไปแล้ว แต่จะไม่มีแสดงรายละเอียดใดๆ เกี่ยวกับสิ่งของที่สั่งซื้อหรือข้อมูลการติดตามสินค้า (tracking information) จะมีเพียงปุ่ม "Order Details" เมื่อผู้ใช้คลิกที่ปุ่มนี้จะมีการดาวน์โหลดเอกสาร Word ที่ชื่อว่า "order_details.doc" เมื่อเปิดเอกสารจะพบการร้องขอให้เปิดการอนุญาตใช้งานสคริปต์ (Enable Content) และทำการสั่งให้ PowerShell ทำงาน และดาวน์โหลดโทรจัน Emotet Banking ลงบนคอมพิวเตอร์ของเหยื่อ (ไฟล์จะใช้ชื่อว่า "mergedboost.exe" หรือ "Keyandsymbol.exe") โทรจันตัวนี้จะทำงานอยู่เบื้องหลัง (background) เพื่อดักจับการกดแป้นพิมพ์, ขโมยข้อมูลบัญชีของผู้ใช้ และขโมยข้อมูลกิจกรรมอื่นๆ บนคอมพิวเตอร์ พบว่าเซิร์ฟเวอร์ของแคมเปญนี้ตั้งอยู่ในประเทศโคลัมเบีย, อินโดนีเซียและสหรัฐอเมริกา โดยเป็นเซิร์ฟเวอร์ที่ถูกยึดมา
ผู้ใช้ควรต้องระวังในการเปิดเอกสารหรือลิงก์ใดๆ ที่แนบมาในอีเมลที่ไม่แน่ใจว่าเป็นของจริง โดยการสังเกต URL ที่ผิดปกติไปจากที่ควรจะเป็นหรือทำการตรวจสอบ URL ที่ถูกต้องก่อนทำการกดลิงก์ใดๆ ควรทำการแสกนไฟล์แนบก่อนเปิดดู รวมทั้งควรใช้ความระมัดระวังเพิ่มสูงขึ้นสำหรับช่วงเทศกาลหรือช่วงที่มีการออกโปรโมชั่นสำหรับการซื้อของออนไลน์ต่างๆ ซึ่งเป็นช่วงที่มีการส่งโปรโมชั่นต่างๆ เพื่อมาจูงใจ โดยอาศัยความไม่ระมัดระวังตัวของผู้ใช้งานในช่วงเวลาดังกล่าว
ที่มา : bleepingcomputer
You must be logged in to post a comment.