แฮ็กเกอร์กำลังมุ่งเป้าไปยังผู้ที่สนใจดาวน์โหลดซอฟต์แวร์เถื่อน และไฟล์แคร็ก โดยใช้ YouTube และผลการค้นหาบน Google
นักวิจัยจาก Trend Micro เปิดเผยในโพสต์บล็อกล่าสุดว่า พบกิจกรรมการโจมตีบนแพลตฟอร์มแชร์ YouTube ซึ่งผู้โจมตีจะแอบอ้างเป็น "คู่มือ" ที่ให้คำแนะนำการติดตั้งซอฟต์แวร์ที่ดูเหมือนถูกต้องตามกฎหมาย เพื่อดึงดูดผู้เข้าชมให้สนใจอ่านคำอธิบายในวิดีโอ หรือความคิดเห็นที่มีการแทรกลิงก์ดาวน์โหลดซอฟต์แวร์ปลอมซึ่งนำไปสู่การติดมัลแวร์
ใน Google แฮ็กเกอร์ใช้วิธีการโปรโมตผลการค้นหาสำหรับซอฟต์แวร์เถื่อน และไฟล์แคร็ก ด้วยลิงก์ที่ดูเหมือนเป็นการดาวน์โหลดที่ถูกต้อง แต่ที่จริงแล้วแฝงมัลแวร์สำหรับขโมยข้อมูลไว้
นอกจากนี้นักวิจัยของ Trend Micro ได้แก่ Ryan Maglaque, Jay Nebre และ Allixon Kristoffer Francisco ยังระบุว่า ผู้โจมตีมักใช้บริการโฮสต์ไฟล์ที่มีชื่อเสียง เช่น Mediafire และ Mega.nz เพื่อซ่อนแหล่งที่มาของมัลแวร์ และทำให้การตรวจจับ และการลบมัลแวร์ทำได้ยากขึ้น
ข้อมูลดังกล่าวเปิดเผยในบล็อกโพสต์ล่าสุดของ Trend Micro เพื่อเตือนผู้ใช้งานให้ระมัดระวังต่อเทคนิคการโจมตีใหม่ ๆ ที่มุ่งหวังขโมยข้อมูลสำคัญจากผู้ที่หลงเชื่อลิงก์ที่เป็นอันตรายเหล่านี้
วิธีการการหลบเลี่ยงการตรวจจับในแคมเปญนี้
แคมเปญนี้ดูเหมือนจะคล้ายกับแคมเปญที่ถูกพบเมื่อประมาณหนึ่งปีที่ผ่านมา ซึ่งแพร่กระจาย Lumma Stealer (MaaS) ที่นิยมใช้ในการขโมยข้อมูลที่มีความสำคัญ เช่น รหัสผ่าน และข้อมูลกระเป๋าเงินคริปโต ผ่านช่อง YouTube ที่ถูกโจมตีด้วยมัลแวร์ในขณะนั้น และเชื่อว่าแคมเปญนี้ยังคงมีการดำเนินอยู่
แม้ว่า Trend Micro จะไม่ได้ระบุว่าแคมเปญเหล่านี้เกี่ยวข้องกันหรือไม่ แต่หากเกี่ยวข้อง กิจกรรมล่าสุดดูเหมือนจะเพิ่มความเสี่ยงในแง่ของความหลากหลายของมัลแวร์ที่ถูกแพร่กระจาย และกลวิธีหลีกเลี่ยงการตรวจจับขั้นสูง รวมถึงการเพิ่มผลการค้นหาที่เป็นอันตรายบน Google
นักวิจัยระบุว่า "การดาวน์โหลดไฟล์ที่เป็นอันตรายซึ่งถูกแพร่กระจายโดยผู้โจมตีมักได้รับการป้องกันด้วยรหัสผ่าน และการเข้ารหัส ซึ่งทำให้การวิเคราะห์ในสภาพแวดล้อมที่มีความปลอดภัย เช่น sandboxes มีความซับซ้อน และช่วยให้มัลแวร์สามารถหลบเลี่ยงการตรวจจับในเบื้องต้น"
นักวิจัยระบุเพิ่มเติมว่า "หลังจากถูกโจมตี มัลแวร์ที่แฝงอยู่ในโปรแกรมดาวน์โหลดจะรวบรวมข้อมูลที่สำคัญจากเว็บเบราว์เซอร์เพื่อขโมยข้อมูลการยืนยันตัวตน ซึ่งแสดงให้เห็นถึงความเสี่ยงร้ายแรงในการเปิดเผยข้อมูลส่วนบุคคลจากการดาวน์โหลดซอฟต์แวร์ปลอมโดยไม่รู้ตัว"
นอกเหนือจาก Lumma แล้ว มัลแวร์ขโมยข้อมูลประเภทอื่น ๆ ที่ถูกพบว่าถูกเผยแพร่ผ่านการดาวน์โหลดซอฟต์แวร์ปลอมจากลิงก์ที่โพสต์บน YouTube ได้แก่ PrivateLoader, MarsStealer, Amadey, Penguish และ Vidar
โดยรวมแล้ว แคมเปญนี้อาศัยความไว้วางใจของผู้ใช้งานในแพลตฟอร์มต่าง ๆ เช่น YouTube และบริการแชร์ไฟล์ โดยนักวิจัยระบุว่า แคมเปญนี้ส่งผลกระทบอย่างยิ่งต่อผู้ที่กำลังค้นหาซอฟต์แวร์เถื่อน และคิดว่าพวกเขากำลังดาวน์โหลดโปรแกรมติดตั้งที่ถูกต้องสำหรับโปรแกรมยอดนิยมต่าง ๆ
ลักษณะคล้ายแคมเปญบน GitHub
แนวคิดเบื้องหลังของแคมเปญนี้คล้ายกับแคมเปญที่พึ่งถูกพบว่ามีการใช้งาน GitHub ในทางที่ผิด โดยผู้โจมตีอาศัยความไว้วางใจของนักพัฒนาที่มีต่อแพลตฟอร์มนี้ เพื่อซ่อน Remcos RAT ในส่วนความคิดเห็นของ GitHub repository
แม้ว่าช่องทางที่ใช้ในการโจมตีจะแตกต่างกัน แต่ความคิดเห็นมีบทบาทสำคัญในการแพร่กระจายมัลแวร์ นักวิจัยอธิบายว่า หนึ่งในตัวอย่างการโจมตีที่พบมีวิดีโอที่แสดงเหมือนกับการโฆษณา Adobe Lightroom Crack ฟรี และในส่วนความคิดเห็นมีลิงก์สำหรับดาวน์โหลดซอฟต์แวร์
เมื่อเข้าถึงลิงก์ดังกล่าว จะนำไปสู่วิดีโออีกโพสต์หนึ่งบน YouTube ซึ่งเผยแพร่ลิงก์ดาวน์โหลดสำหรับโปรแกรมติดตั้งปลอม ที่สุดท้ายจะนำไปสู่การดาวน์โหลดไฟล์มัลแวร์ที่แฝงมัลแวร์ขโมยข้อมูลจากเว็บไซต์โฮสต์ไฟล์ Mediafire
อีกหนึ่งการโจมตีที่ Trend Micro พบ มีการฝังลิงก์แบบย่อไปยังไฟล์ติดตั้งปลอมจาก OpenSea ซึ่งเป็นตลาด NFT ที่ติดผลการค้นหาอันดับที่สามเมื่อค้นหาการดาวน์โหลด Autodesk
นักวิจัยระบุว่า "รายการนี้มีลิงก์แบบย่อที่เปลี่ยนเส้นทางไปยังลิงก์จริง โดยหนึ่งในสมมติฐานคือพวกเขาใช้ลิงก์แบบย่อเพื่อป้องกันไม่ให้เว็บไซต์เก็บข้อมูลอัตโนมัติเข้าถึงลิงก์ดาวน์โหลดได้"
นักวิจัยระบุเพิ่มเติมว่า "ลิงก์ดังกล่าวจะขอให้ผู้ใช้เข้าถึงลิงก์ดาวน์โหลดจริง และรหัสผ่านของไฟล์ zip ซึ่งคาดว่าการป้องกันไฟล์ด้วยรหัสผ่านจะช่วยหลีกเลี่ยงการวิเคราะห์ของ sandbox จากไฟล์แรกที่ได้รับ"
ป้องกันความเสี่ยงขององค์กรจากมัลแวร์
จากกิจกรรมการโจมตีที่พบ ผู้โจมตียังคงใช้วิธีการ social engineering เพื่อกำหนดเป้าหมาย และใช้วิธีการหลากหลายเพื่อหลีกเลี่ยงการป้องกันด้านความปลอดภัย เช่น การใช้ไฟล์ติดตั้งขนาดใหญ่, ไฟล์ zip ที่ป้องกันด้วยรหัสผ่าน, การเชื่อมต่อไปยังเว็บไซต์ที่น่าเชื่อถือ และการสร้างสำเนาของไฟล์พร้อมเปลี่ยนชื่อให้ดูเหมือนไม่เป็นอันตราย
นักวิจัยระบุว่า "เพื่อป้องกันการโจมตีเหล่านี้ องค์กรควรอัปเดตข้อมูลเกี่ยวกับภัยคุกคามปัจจุบัน และเฝ้าระวังเกี่ยวกับระบบการตรวจจับ และการแจ้งเตือน การสามารถเฝ้าระวังภัยคุกคามได้อย่างครอบคลุมมีความสำคัญ เพราะการพึ่งพาการตรวจจับเพียงอย่างเดียวอาจทำให้กิจกรรมที่เป็นอันตรายจำนวนมากไม่ถูกตรวจพบ"
การฝึกอบรมพนักงานก็มีความสำคัญอย่างมากในการช่วยให้พนักงานไม่ตกเป็นเหยื่อของการโจมตีที่ใช้วิธีการ social engineering หรือพยายามดาวน์โหลดซอฟต์แวร์เถื่อน
ที่มา : darkreading
You must be logged in to post a comment.