ทีม Computer Emergency Response Team (CERT-UA) ของยูเครน แจ้งเตือนเกี่ยวกับการโจมตีในรูปแบบ highly targeted โดยใช้บัญชี Signal ที่ถูกโจมตีเพื่อส่งมัลแวร์ไปยังพนักงานของหน่วยงานกลาโหม และสมาชิกของกองทัพยูเครน
เอกสารดังกล่าวระบุว่า การโจมตีเริ่มต้นขึ้นในเดือนนี้ โดยมีการส่งข้อความผ่าน Signal ซึ่งแนบไฟล์ที่ถูกปลอมแปลงให้ดูเหมือนรายงานการประชุม
เนื่องจากบางข้อความถูกส่งจากผู้ติดต่อที่รู้จัก ซึ่งมีโอกาสที่เหยื่อจะเปิดไฟล์แนบมากขึ้น
ไฟล์ที่แนบมาในรูปแบบ ZIP ประกอบด้วยไฟล์ PDF และไฟล์ปฏิบัติการ (Executable) โดยไฟล์ PDF ทำหน้าที่เป็นตัวหลอกให้เหยื่อเปิดไฟล์ ซึ่งจะทำให้ไฟล์อันตรายถูกเรียกใช้งาน
ไฟล์ปฏิบัติการดังกล่าวถูกจัดประเภทว่าเป็น DarkTortilla cryptor/loader ซึ่งเมื่อถูกเรียกใช้งาน จะทำการถอดรหัส และเรียกใช้ remote access trojan Dark Crystal RAT (DCRAT)
CERT-UA ระบุว่าปฏิบัติการนี้ถูกติดตามในชื่อ UAC-0200 ซึ่งเป็นกลุ่มผู้โจมตีที่ใช้ Signal ในการโจมตีลักษณะเดียวกันมาตั้งแต่เดือนมิถุนายน 2024
อย่างไรก็ตาม ในการโจมตีล่าสุด ฟิชชิ่งถูกอัปเดตให้สอดคล้องกับประเด็นสำคัญในยูเครน โดยเฉพาะเรื่องที่เกี่ยวข้องกับภาคการทหาร
CERT-UA ระบุในแถลงการณ์ล่าสุดว่า "ตั้งแต่เดือนกุมภาพันธ์ 2025 เป็นต้นมา ข้อความหลอกลวงได้เปลี่ยนไปเน้นประเด็นเกี่ยวกับโดรน (UAVs), ระบบสงครามอิเล็กทรอนิกส์ และเทคโนโลยีทางทหารอื่น ๆ"
ในเดือนกุมภาพันธ์ 2025 Google Threat Intelligence Group (GTIG) รายงานว่า ผู้โจมตีชาวรัสเซียได้ใช้ประโยชน์จากฟีเจอร์ "Linked Devices" ของ Signal ซึ่งเป็นฟีเจอร์ที่มีความน่าเชื่อถือ เพื่อเข้าถึงบัญชีเป้าหมายโดยที่ไม่ได้รับอนุญาต
ผู้ใช้งาน Signal ที่คิดว่าตนเองอาจตกเป็นเป้าหมายของการโจมตีแบบ spear-phishing ควรปิดการดาวน์โหลดไฟล์แนบอัตโนมัติ และระมัดระวังข้อความทุกประเภท โดยเฉพาะข้อความที่มีไฟล์แนบ
นอกจากนี้ขอแนะนำให้ตรวจสอบรายการอุปกรณ์ที่เชื่อมโยงกับ Signal เป็นประจำเพื่อป้องกันไม่ให้บัญชีถูกใช้เป็นช่องทางในการโจมตี
ท้ายที่สุด ผู้ใช้ Signal ควรอัปเดตแอปพลิเคชันให้เป็นเวอร์ชันล่าสุดบนทุกแพลตฟอร์ม และเปิดใช้งาน Two-Factor Authentication เพื่อป้องกันบัญชีเพิ่มเติม
ที่มา : bleepingcomputer
You must be logged in to post a comment.