นักวิจัยของ ESET บริษัทด้านความปลอดภัยทางไซเบอร์ พบการโจมตีโดยใช้ Google Ad เพื่อหลอกเหยื่อไปยังเว็บไซต์ที่ปลอมแปลงเป็น Telegram และ WhatsApp เพื่อแพร่กระจายมัลแวร์ Cryptocurrency Clipper ไปยังเป้าหมายที่ใช้งาน Android และ Windows
การโจมตี
นักวิจัยได้วิเคราะห์การโจมตีไว้ว่า Hacker จะเริ่มด้วยการฝังลิงค์ไว้ผ่านบริการ Google Ad เพื่อหลอกให้เหยื่อทำการคลิกลิงค์ดังกล่าว จากนั้นก็จะนำเหยื่อไปยังช่อง YouTube และไปยังเว็บไซต์ Telegram และ WhatsApp ที่ถูกสร้างเลียนแบบขึ้น เพื่อทำการติดตั้งมัลแวร์ cryptocurrency clipper ลงบนเครื่องเหยื่อ
clipper Malware ใน Android
cryptocurrency clipper Malware ใน Android มาพร้อมกับความสามารถในการดักจับข้อความแชทของเหยื่อ การเปลี่ยนที่อยู่กระเป๋าเงิน การเก็บข้อมูลบนอุปกรณ์ และข้อมูลบน Telegram เช่น ข้อความ และรายชื่อผู้ติดต่อ เพื่อส่งกลับไปยัง server ของ Hacker โดยการพบการโจมตีจาก Clipper Malware บน Google Play Store ถูกพบครั้งแรกในปี 2021 ซึ่งได้แฝงตัวเป็นแอปการสนทนา นอกจากนี้ยังพบว่ามัลแวร์ดังกล่าวมีความสามารถ Optical Character Recognition (OCR) เพื่อสามารถอ่านข้อความจากภาพเพื่อค้นหา และขโมย seed phrases โดยใช้ประโยชน์จาก machine learning plugin ที่ชื่อ ML Kit on Android ในการขโมยเงินใน Cryptocurrency Wallet
รายชื่อ Android APK package ที่เป็นอันตราย
- telegram.messenger
- telegram.messenger.web2
- tgplus.messenger
- busniess.va.whatsapp
Clipper Malware บน Windows
นักวิจัยพบว่า clipper Malware ใน Windows มี 2 ประเภท ประเภทแรกมีความสามารถในการสับเปลี่ยน Cryptocurrency Wallet addresses ให้กลายเป็นของ Hacker แทน และประเภทที่สองเป็น Remote Access Trojans (RAT) ที่มีความสามารถในการขโมยข้อมูล และส่งกลับมายัง server ของ Hacker ซึ่งจากการตรวจสอบ Gh0st RAT ที่เป็นโทรจันในกลุ่มเดียวกันพบว่าสามารถตรวจจับการทำงานของระบบป้องกันความปลอดภัย รวมถึงหยุดการทำงาน เพื่อหลีกเลี่ยงการตรวจจับ และใช้ HP-socket library ในการสื่อสารกับ server ของ Hacker
ที่มา : thehackernews
You must be logged in to post a comment.