ร้านค้าออนไลน์ตกเป็นเป้าหมายของแคมเปญการโจมตีใหม่โดยใช้ Vidar malware มัลแวร์ขโมยข้อมูลที่ทำให้ Hacker สามารถขโมยข้อมูลจากผู้ขายของออนไลน์ออกไปได้
BleepingComputer ได้รับรายงานว่าแคมเปญใหม่นี้ พึ่งเปิดตัวในสัปดาห์นี้โดย Hacker ได้ส่งข้อร้องเรียนไปยังผู้ดูแลร้านค้าออนไลน์ผ่านอีเมล และแบบฟอร์มติดต่อเว็บไซต์ ซึ่งอีเมลเหล่านี้หลอกว่าส่งมาจากลูกค้าของร้านค้าออนไลน์ที่ถูกหักเงิน 550 ดอลลาร์จากบัญชีธนาคารของพวกเขา หลังจากคำสั่งซื้อไม่ผ่านการดำเนินการอย่างถูกต้อง
การกำหนดเป้าหมายไปยังผู้ขายของออนไลน์
ปัจจุบันผู้ขายออนไลน์ได้กลายเป็นเป้าหมายของ Hacker เนื่องจากหากโจมตีสำเร็จ จะทำให้สามารถนำข้อมูลสำหรับยืนยันตัวตนไปใช้เพื่อเข้าถึง backend ของเว็บไซต์อีคอมเมิร์ซ ทำให้สามารถใช้การโจมตีด้วยวิธีการต่าง ๆ ได้ต่อ
ตัวอย่างเช่น เมื่อผู้คุกคามเข้าถึง backend ของผู้ดูแลระบบของร้านค้าออนไลน์ Hacker สามารถแทรกสคริปต์ JavaScript ที่เป็นอันตรายเพื่อทำการโจมตีแบบ MageCart ซึ่งถูกใช้เพื่อขโมยข้อมูลบัตรเครดิตของลูกค้า และข้อมูลส่วนตัวของลูกค้าระหว่างการชำระเงิน ทั้งนี้การเข้าถึง backend ยังสามารถใช้เพื่อขโมยข้อมูลลูกค้าของเว็บไซต์ได้ด้วยการสร้างข้อมูลสำรองสำหรับฐานข้อมูลของร้านค้า ซึ่งสามารถนำมาใช้เพื่อขู่เรียกค่าไถ่จาก มิฉะนั้นข้อมูลจะรั่วไหลออกสู่สาธารณะ หรือขายให้กับ Hacker รายอื่น
เมื่อต้นสัปดาห์ที่ผ่านมา BleepingComputer ได้รับตัวอย่างอีเมลที่อ้างว่าส่งมาจากลูกค้าซึ่งถูกเรียกเก็บเงิน 550 ดอลลาร์ตามที่แสดงด้านล่าง
สิ่งที่ส่งมาในอีเมลข้างต้นคือลิงก์ bit.ly ไปยังใบแจ้งยอดธนาคาร ซึ่งถูกย่อให้สั้นลงเพื่อซ่อนลิงก์เต็ม โดยอีเมลนี้เขียนขึ้นเพื่อแสดงความเร่งด่วน เพื่อหลอกให้ผู้ขายออนไลน์คืนเงิน และตรวจสอบสาเหตุของปัญหา
ซึ่งเมื่อเป้าหมายคลิกที่ URL จะแสดงเว็บไซต์ที่แอบอ้างว่าเป็น Google Drive โดยที่ Google Drive ปลอมนี้จะแสดงใบแจ้งยอดจากธนาคาร หรือแจ้งให้ผู้ใช้งานดาวน์โหลดใบแจ้งยอดจากธนาคาร
เมื่อเปิดใบแจ้งยอดจากธนาคาร เว็บไซต์จะแสดงใบแจ้งยอดจากธนาคารตัวอย่างจาก Commerce Bank ที่ใช้ข้อมูลตัวอย่าง เช่น ชื่อลูกค้า "Jane Customer" ที่ "Anywhere Dr" 
อย่างไรก็ตามจากการทดสอบจากลิ้งอื่น ๆ อาจจะแสดงหน้า Google ไดรฟ์ปลอมที่ระบุว่าไม่มีการแสดงตัวอย่าง และแจ้งให้ผู้ใช้ดาวน์โหลด 'Bank_statement.pdf' เพื่อดาวน์โหลดไฟล์ปฏิบัติการที่ชื่อ 'bank_statement.scr' 
จากการตรวจสอบของ VirusTotal พบเพียงว่าเป็นมัลแวร์สำหรับขโมยข้อมูลทั่วไป แต่ข้อมูลจาก Recorded Future พบว่าเป็นมัลแวร์ขโมยข้อมูลของ Vidar malware
Vidar เป็นโทรจันขโมยข้อมูลที่สามารถขโมยคุกกี้ของเบราว์เซอร์ ประวัติเบราว์เซอร์ รหัสผ่านที่บันทึกไว้ cryptocurrency wallets, text files, Auth 2FA databases และภาพหน้าจอของหน้าจอ Windows ที่ใช้งานอยู่ โดยข้อมูลจะถูกอัปโหลดไปยัง C2 server ของ Hacker หลังจากนั้นก็จะลบไฟล์ออกจากเครื่อง เหลือแค่ไดเร็กทอรีที่เต็มไปด้วยโฟลเดอร์ว่างเปล่า เมื่อHacker ได้รับข้อมูลที่ถูกขโมยไป ก็จะนำข้อมูลประจำตัวไปขายให้กับ Hacker รายอื่น หรือใช้ข้อมูลเหล่านี้เพื่อโจมตีบัญชีที่เหยื่อใช้ต่อไป
หากได้รับอีเมล์ดังกล่าว เป็นไปได้ที่จะถูกโจมตีจากแคมเปญนี้ แนะนำให้ทำการสแกนหามัลแวร์ในคอมพิวเตอร์ทันที และลบทุกอย่างที่พบ รวมถึงเปลี่ยนรหัสผ่านในทุกบัญชี โดยเฉพาะที่เกี่ยวข้องกับเว็บไซต์การค้าออนไลน์ บัญชีธนาคาร และที่อยู่อีเมล สุดท้ายให้ทำการตรวจสอบเว็บไซต์อีคอมเมิร์ซอย่างละเอียดเพื่อตรวจสอบ source code ที่อาจถูกแทรกลงในเทมเพลต HTML ตรวจสอบบัญชีใหม่ที่มีสิทธิ์สูง หรือการแก้ไข source code ของเว็บไซต์
ที่มา : bleepingcomputer
You must be logged in to post a comment.