นักวิจัยด้านความปลอดภัยพบมัลแวร์ขโมยข้อมูลตัวใหม่ที่ชื่อว่า SYS01stealer ซึ่งมีเป้าหมายไปยังพนักงานขององค์กรด้านโครงสร้างพื้นฐานที่สำคัญของรัฐบาล, บริษัทในภาคการผลิต และบริษัทในภาคส่วนอื่น ๆ
Morphisec รายงานว่า ผู้โจมตีที่อยู่เบื้องหลังแคมเปญนี้จะมุ่งเป้าไปที่ Business accounts บน Facebook โดยการใช้ Google ads และโปรไฟล์ Facebook ปลอม ที่โปรโมตสิ่งต่าง ๆ เช่น เกมส์, เนื้อหาสำหรับผู้ใหญ่, และซอร์ฟแวร์ละเมิดลิขสิทธิ์ เพื่อหลอกล่อเหยื่อให้ดาวน์โหลดไฟล์ที่เป็นอันตราย
การโจมตีนี้ถูกออกแบบมาเพื่อขโมยข้อมูลที่สำคัญ เช่น ข้อมูลการเข้าสู่ระบบ, คุกกี้, ข้อมูลของ Facebook ad และข้อมูลบัญชีธุรกิจ
โดย Morphisec ระบุว่า แคมเปญนี้เริ่มต้นจากการดำเนินการของกลุ่มผู้โจมตีที่มีแรงจูงใจทางด้านการเงินที่ชื่อว่า Ducktail
WithSecure เคยรายงานปฏิบัติการของกลุ่ม Ducktail เป็นครั้งแรกในเดือนกรกฎาคม พ.ศ. 2565 ได้ระบุว่า ข้อมูลที่ได้จากการวิเคราะห์การโจมตีทั้ง 2 ครั้งของ Ducktail มีความแตกต่างกัน แสดงให้เห็นว่าผู้โจมตีพยายามสร้างความสับสนให้กับนักวิจัยในความพยายามสำหรับการระบุแหล่งที่มา รวมไปถึงความพยายามในการหลบเลี่ยงการตรวจจับ
โดยรายงานจาก Morphisec ระบุว่า การโจมตีเริ่มต้นด้วยการหลอกล่อให้เหยื่อคลิก URL จากโปรไฟล์ หรือโฆษณาบน Facebook เพื่อดาวน์โหลดไฟล์ ZIP ที่อ้างว่าเป็นซอฟต์แวร์ละเมิดลิขสิทธิ์ หรือเนื้อหาสำหรับผู้ใหญ่
การเปิดไฟล์ ZIP จะมีการเรียกใช้งานแอปที่ดูถูกต้องตามปกติ แต่จะใช้วิธีการ DLL side-loading ทำให้สามารถโหลดไฟล์ DLL ที่เป็นอันตรายควบคู่ไปกับแอปปกติได้
แอปพลิเคชันบางตัวที่ถูกนำมาใช้เพื่อดาวน์โหลด DLL ที่เป็นอันตรายคือ WDSyncService.exe ของ Western Digital และ ElevatedInstaller.exe ของ Garmin โดยสุดท้ายเป้าหมายของผู้โจมตีคือการติดตั้งมัลแวร์ SYS01stealer
โดย SYS01stealer ถูกออกแบบมาเพื่อเก็บข้อมูลคุกกี้ของ Facebook จาก Chromium-based web browser (เช่น Google Chrome, Microsoft Edge, Brave, Opera และ Vivaldi) โดยมันจะทำการส่งข้อมูล Facebook ของเหยื่อที่เก็บรวบรวมมาได้ไปยัง C2 Server รวมถึงสามารถดาวน์โหลด หรือทำการรันไฟล์ต่าง ๆ ตามที่ผู้โจมตีต้องการได้ และยังสามารถอัปเดตตัวเองเมื่อมีเวอร์ชันใหม่ที่พร้อมใช้งาน
เหตุการณ์นี้เกิดขึ้นในเวลาใกล้เคียงกับที่ Bitdefender เปิดเผยแคมเปญของมัลแวร์ stealer ที่คล้ายกัน ที่รู้จักกันในชื่อ S1deload ซึ่งออกแบบมาเพื่อโจมตีบัญชี Facebook และ YouTube ของผู้ใช้งาน และใช้ประโยชน์จากระบบที่ถูกโจมตีมาทำการขุดเหรียญ cryptocurrency
Morphisec ระบุว่า DLL side-loading เป็นเทคนิคการโจมตีที่มีประสิทธิภาพสูง เนื่องจากเมื่อแอปพลิเคชันถูกโหลดลงในหน่วยความจำบน Windows System และไม่มีการตรวจสอบลำดับในการค้นหาไฟล์ DLL ในการทำงาน แอปพลิเคชันอาจจะโหลดไฟล์ DLL ที่เป็นอันตราย แทนที่จะเป็นไฟล์ DLL ที่ถูกต้อง
ที่มา : thehackernews
You must be logged in to post a comment.