แคมเปญโฆษณามัลแวร์กำลังใช้ประโยชน์จากแพลตฟอร์มของ Meta เพื่อแพร่กระจายมัลแวร์ SYS01 Infostealer ซึ่งเป็นภัยคุกคามทางไซเบอร์ที่รู้จักกันดีในการขโมยข้อมูลส่วนบุคคลของผู้ใช้งาน Meta โดยเฉพาะผู้ใช้งาน Facebook
การโจมตีนี้มุ่งเป้าไปที่ผู้ใช้งานหลายล้านราย โดยเฉพาะกลุ่มผู้ชายที่มีอายุตั้งแต่ 45 ปีขึ้นไป มีความเสี่ยงที่จะตกเป็นเหยื่อของการโจมตีนี้ โดยมันจะแฝงตัวอยู่ในรูปแบบของโฆษณาซอฟต์แวร์เกม และบริการออนไลน์ยอดนิยม
แคมเปญนี้ถูกตรวจพบครั้งแรกในเดือนกันยายน 2024 มีความโดดเด่นเนื่องจากวิธีการในการปลอมเป็นบุคคลอื่น และแบรนด์ยอดนิยม จากการที่ไม่ได้เน้นวิธีการเพียงวิธีการเดียว ผู้ไม่หวังดีจึงเลียนแบบแบรนด์ที่น่าเชื่อถือได้หลากหลายแบรนด์ รวมถึงเครื่องมือที่เพิ่มประสิทธิภาพการทำงาน เช่น Office 365, ซอฟต์แวร์ creative เช่น Canva และ Adobe Photoshop, บริการ VPN เช่น ExpressVPN, แพลตฟอร์มสตรีมมิ่ง เช่น Netflix, แอปพลิเคชันส่งข้อความ เช่น Telegram และแม้แต่วิดีโอเกมยอดนิยม เช่น Super Mario Bros Wonder
การโจมตีทำงานอย่างไร
ตามโพสต์ใน blog ของ Bitdefender ที่แชร์กับ Hackread.com ก่อนการเผยแพร่ในวันพุธ โฆษณาที่เป็นอันตรายเหล่านี้ส่วนใหญ่จะนำไปสู่ลิงก์ MediaFire ที่นำเสนอการดาวน์โหลดซอฟต์แวร์ที่ดูเหมือนถูกลิขสิทธิ์ การดาวน์โหลดเหล่านี้จะมีลักษณะเป็นไฟล์ zip และจะมีแอปพลิเคชัน Electron ที่เป็นอันตรายอยู่ภายใน
เมื่อเรียกใช้งานแอปพลิเคชันดังกล่าว มันจะติดตั้ง และเรียกใช้งาน SYS01 infostealer ซึ่งปกติจะทำงานควบคู่กับการแสดงแอปพลิเคชันปลอมที่เลียนแบบซอฟต์แวร์โฆษณา วิธีการหลอกลวงนี้ทำให้เหยื่อไม่รู้ตัวว่าตนกำลังถูกโจมตี
ข้อมูลเพิ่มเติม : แอปพลิเคชัน Electron เป็นแอปพลิเคชันเดสก์ท็อปที่สร้างขึ้นด้วยเทคโนโลยีเว็บ เช่น HTML, CSS และ JavaScript โดย Electron เป็นเฟรมเวิร์กโอเพนซอร์สที่พัฒนาโดย GitHub ซึ่งช่วยให้นักพัฒนาสามารถสร้างแอปพลิเคชันข้ามแพลตฟอร์มที่ทำงานบน Windows, macOS และ Linux โดยใช้โค้ดเพียงชุดเดียว
อย่างไรก็ตาม การโจมตีนี้ แอปพลิเคชัน Electron จะใช้โค้ด Javascript ที่เขียนให้เข้าใจได้ยาก และโปรแกรม 7zip ที่ทำงานแบบสแตนด์อโลน เพื่อแยกไฟล์ที่ถูกใส่รหัสผ่านไว้ ซึ่งประกอบไปด้วยส่วนประกอบหลักของมัลแวร์ ไฟล์นี้ประกอบไปด้วยสคริปต์ PHP ที่ทำหน้าที่ในการติดตั้ง infostealer และสร้างการแฝงตัวอยู่บนระบบของเหยื่อ มัลแวร์นี้ยังมีการตรวจสอบเพื่อตรวจจับแซนบ็อกซ์ (anti-sandbox) เพื่อหลีกเลี่ยงการถูกวิเคราะห์โดยนักวิจัยด้านความปลอดภัยด้วย
การขโมยข้อมูล และการแฮ็กบัญชี
เป้าหมายหลักของ SYS01 infostealer คือการขโมยข้อมูล Facebook credentials โดยเฉพาะบัญชีที่เกี่ยวข้องกับธุรกิจ บัญชีที่ถูกแฮ็กเหล่านี้จะถูกนำมาใช้ในการโจมตี หรือหลอกลวงเพิ่มเติม
ที่แย่กว่านั้นคือการโจมตีนี้ยังใช้ประโยชน์จากความสามารถในการโฆษณาของบัญชีที่ถูกแฮ็ก ทำให้ผู้โจมตีสามารถสร้างโฆษณาใหม่ที่เป็นอันตรายซึ่งดูน่าเชื่อถือมากขึ้น และสามารถหลีกเลี่ยงการตรวจสอบด้านความปลอดภัยได้ง่าย โดยบัญชีที่ถูกขโมยจะถูกใช้เพื่อแพร่กระจายมัลแวร์ไปยังกลุ่มเป้าหมายมากขึ้น credentials ที่ถูกขโมยยังมีแนวโน้มที่จะถูกขายในตลาดมืด ซึ่งทำให้ผู้ไม่หวังดีสามารถหารายได้ได้เพิ่มเติม
การเข้าถึงจากทั่วโลก และการป้องกัน
ในขณะที่แคมเปญนี้มีการเข้าถึงทั่วโลก ส่งผลกระทบต่อผู้ใช้งานในสหภาพยุโรป, อเมริกาเหนือ, ออสเตรเลีย และเอเชีย แต่ Bitdefender ไม่สามารถยืนยันขอบเขตทั้งหมดของการโจมตีนี้ โดยเฉพาะนอกสหภาพยุโรป ซึ่งยังคงไม่ชัดเจนเนื่องจากข้อมูลที่จำกัดในการเปิดเผยข้อมูล
อย่างไรก็ตาม หากมีการใช้งาน Facebook โดยเฉพาะหากเป็นผู้ดูแล business page ควรต้องระมัดระวัง SYS01 Infostealer และภัยคุกคามที่คล้ายกัน โดยต่อไปนี้เป็นขั้นตอนสำคัญที่ควรดำเนินการ
- ตรวจสอบบัญชี: ตรวจสอบ Facebook และบัญชีโซเชียลมีเดียอื่น ๆ เป็นประจำเพื่อดูกิจกรรมที่น่าสงสัย รายงานการเข้าถึงโดยไม่ได้รับอนุญาตทันที และเปลี่ยนรหัสผ่าน
- ระมัดระวังโฆษณา: ใช้ความระมัดระวังเมื่อคลิกโฆษณา โดยเฉพาะโฆษณาที่ให้ดาวน์โหลดฟรี หรือข้อเสนอที่ดูดีเกินจริง ตรวจสอบแหล่งที่มาก่อนดาวน์โหลด
- ดาวน์โหลดจากแหล่งที่เชื่อถือได้: ดาวน์โหลดซอฟต์แวร์โดยตรงจากเว็บไซต์ทางการ หรือ app stores ที่เชื่อถือได้ หลีกเลี่ยงแพลตฟอร์มของ third-party และบริการแชร์ไฟล์
- ใช้ซอฟต์แวร์ด้านความปลอดภัยที่มีประสิทธิภาพ: ติดตั้งซอฟต์แวร์ด้านความปลอดภัยที่เชื่อถือได้ และอัปเดตอย่างสม่ำเสมอ เลือกโซลูชันที่มีการป้องกันแบบเรียลไทม์ และการตรวจจับภัยคุกคามขั้นสูง
- เปิดใช้งานการยืนยันตัวตนสองขั้นตอน (2FA): เปิดใช้งาน 2FA บนบัญชี Facebook และบัญชีออนไลน์ที่สำคัญอื่น ๆ เพื่อเพิ่มความปลอดภัย
ที่มา : hackread
You must be logged in to post a comment.