ผู้เชี่ยวชาญจาก SEKOIA พบเคมเปญการโจมตีขนาดใหญ่ที่มีการใช้งานโดเมนกว่า 1,300 โดเมนในการปลอมเป็น Official Site ของโปรแกรมรีโมทที่ใช้งานกันแพร่หลายอย่าง AnyDesk โดยจะเปลี่ยนเส้นทางของผู้ใช้งานไปยัง Dropbox ที่ใช้สำหรับติดตั้งมัลแวร์ขโมยข้อมูลที่มีชื่อว่า Vidar ซึ่ง Host ทั้งหมดใช้มาจาก IP เดียวกันคือ 185.149.120[.]9
ปัจจุบันโดเมนส่วนใหญ่ยังคงออนไลน์อยู่ แต่ก็มีบางโดเมนถูกรายงาน และปิดโดยผู้ให้บริการ Hosting รวมไปถึงถูกบล็อกจาก AntiVirus นอกจากนี้ลิงก์ Dropbox ของเว็ปไซต์ที่เปิดอยู่จะไม่ทำงานอีกต่อไปเนื่องจากมีรายงานไฟล์ที่เป็นอันตรายไปยังผู้ให้บริการ อย่างไรก็ตามแคมเปญเหล่านี้ชี้ไปที่เว็ปไซต์ปลายทางเดียวกัน ทำให้ผู้โจมตีสามารถแก้ไขปัญหาได้โดยอัปเดต URL ดาวน์โหลดไปยังเว็ปไซต์อื่นแทน
ลักษณะการทำงาน
- ในแคมเปญล่าสุดที่ค้นพบเว็ปไซต์ปลอมต์ต่าง ๆ จะทำการแจกจ่ายไฟล์ที่ชื่อ 'AnyDeskDownload.zip' ซึ่งอ้างว่าเป็นตัวติดตั้งสำหรับโปรแกรม AnyDesk
- เมื่อผู้ใช้งานทำการติดตั้ง จะเป็นการติดตั้งมัลแวร์ Vidar Stealer แทน ซึ่งเป็นมัลแวร์ที่ใช้สำหรับขโมยข้อมูลที่แพร่ระบาดตั้งแต่ปี 2018
- เมื่อติดตั้งเรียบร้อยแล้ว มัลแวร์จะขโมยประวัติการใช้งานบนเบราว์เซอร์ของเหยื่อ, account credentials, รหัสผ่านที่ถูกบันทึกไว้, ข้อมูลกระเป๋าเงินดิจิตอล, ข้อมูลธนาคาร และข้อมูลสำคัญอื่นๆ ซึ่งข้อมูลเหล่านี้จะถูกส่งกลับไปยังผู้โจมตี
- ผู้ใช้งานส่วนใหญ่ที่ถูก Redirect มายังเว็ปไซต์อันตรายเหล่านี้ เกิดจากการค้นหาซอฟต์แวร์ และเกมเวอร์ชันละเมิดลิขสิทธิ์บน Google โดยสุดท้ายจะถูก Redirect ไปยังโดเมนที่ส่งเพย์โหลดที่เป็นอันตราย
- โดยปกติผู้โจมตีจะซ่อนเพย์โหลดของมัลแวร์หลังจาก Redirect ไปยังเว็ปไซต์อันตรายเพื่อหลีกเลี่ยงการตรวจจับ แต่ในแคมเปญนี้กลับใช้บริการโฮสติ้งไฟล์ของ Dropbox ที่ปกติ AntiVirus จะไม่ตรวจสอบ ในการการส่งเพย์โหลดแทน
ในช่วงที่ผ่านมา ทีมงาน BleepingComputer ค้นพบว่า Vidar ถูกใช้งานโดยแคมเปญการโจมตีต่าง ๆ มาแล้วมากกว่า 200 แคมเปญ ซึ่งในแคมเปญเหล่านี้มีการเลียนแบบแบรนด์ซอฟต์แวร์ต่าง ๆ กว่า 27 แบรนด์
แนวทางการป้องกัน
- ผู้ใช้ควรบุ๊กมาร์กเว็บไซต์ที่ใช้สำหรับดาวน์โหลดซอฟต์แวร์
- หลีกเลี่ยงการคลิกโฆษณาใน Google Search
- เข้าใช้งาน Official URL จากหน้าเว็ปไซต์ที่เชื่อถือได้หรือ Document ของ Product เหล่านั้นแทน
ที่มา : bleepingcomputer
You must be logged in to post a comment.