พบแคมเปญการโจมตีแบบ SEO poisoning ของมัลแวร์ Bumblebee ที่ปลอมแปลงเป็น open-source ยอดนิยม แล้วทำการโฆษณาแบบ SEO เพื่อหลอกให้พนักงานฝ่ายไอทีโหลดไปใช้
BleepingComputer พบว่าแคมเปญการโจมตีดังกล่าวมี open-source ยอดนิยมที่ถูกใช้ในการโจมตีได้แก่ Zenmap ซึ่งเป็นเครื่องมือ Nmap network scanning แบบ GUI และ WinMTR เครื่องมือ tracerout utility
โดยทั่วไปพนักงานฝ่ายไอทีจะใช้เครื่องมือทั้งสองนี้เพื่อตรวจสอบ หรือวิเคราะห์ปริมาณการใช้งาน network traffic ซึ่งต้องมีสิทธิ์ระดับผู้ดูแลระบบจึงจะใช้ฟีเจอร์บางอย่างได้ จึงทำให้ผู้ใช้งานเครื่องมือเหล่านี้กลายเป็นเป้าหมายหลักของ Hacker ที่ต้องการโจมตีเครือข่ายขององค์กร และแพร่กระจายมัลแวร์ไปยังอุปกรณ์อื่น
Bumblebee malware loader ถูกฝังไว้อย่างน้อยสองโดเมน ได้แก่ zenmap[.]pro และ winmtr[.]org แม้ว่าโดเมน winmtr[.]org จะออฟไลน์อยู่ แต่โดเมน zenmap[.]pro ยังคงออนไลน์อยู่ และแสดง blog page ปลอมเกี่ยวกับ Zenmap เมื่อเข้าชมโดยตรง
เมื่อผู้ใช้ถูก redirect ไปที่ zenmap[.]pro จากผลการค้นหา มันจะแสดงหน้าโคลนของเว็บไซต์ที่ดูเหมือนถูกต้องสำหรับ nmap (Network Mapper) utility
โดยทั้งสองโดเมนดังกล่าวได้ถูกทำ SEO poisoning ส่งผลให้ติดอันดับสูงในผลการค้นหาของ Google และ Bing สำหรับคำค้นหาที่เกี่ยวข้อง
โดยเพย์โหลดที่ดาวน์โหลดจาก 'zenmap-7.97.msi' และ 'WinMTR.msi' สามารถหลบเลี่ยงการตรวจจับจากโปรแกรมป้องกันมัลแวร์ส่วนใหญ่บน VirusTotal ได้
โปรแกรมติดตั้งจะแฝง DLL ที่เป็นอันตราย เช่นเดียวกับกรณีของ RVTools ที่โหลดโปรแกรม Bumblebee ลงในอุปกรณ์ของผู้ใช้ หลังจากนั้นก็จะทำการใช้ backdoor เพื่อสร้างโปรไฟล์ของเหยื่อ และเปิดใช้งานเพย์โหลดอื่นเพิ่มเติม ซึ่งอาจรวมถึงโปรแกรมขโมยข้อมูล, แรนซัมแวร์ และมัลแวร์ประเภทอื่น ๆ
นอกเหนือจาก Zenmap และ WinMTR BleepingComputer ยังพบแคมเปญเดียวกันนี้ที่มุ่งเป้าไปที่ผู้ใช้งานที่กำลังหาซอฟต์แวร์จัดการกล้องวงจรปิด Hanwha ที่ชื่อว่า WisenetViewer อีกด้วย
รวมถึง Joe Wrieden นักวิจัยของ Cyjax ได้พบซอฟต์แวร์จัดการวิดีโอ Milestone XProtect ที่มี trojan ซึ่งเป็นส่วนหนึ่งของแคมเปญเดียวกัน โดยโปรแกรมติดตั้งที่เป็นอันตรายอยู่ที่ 'milestonesys[.]org' (ยังออนไลน์อยู่)
RVTools Official ยังคง Official
โดเมน RVTools อย่างเป็นทางการทั้งสองแห่ง ได้แก่ Robware.net และ RVTools.com กำลังแจ้งคำเตือนให้ผู้ใช้ไม่ดาวน์โหลดซอฟต์แวร์จากเว็บไซต์ที่ไม่เป็นทางการ และจะไม่มีการเผยแพร่ลิงก์สำหรับดาวน์โหลดด้วยตนเองผ่านช่องทางอื่น
หลังจากมีข้อกล่าวหาว่าเว็บไซต์ RVTools มีการส่งโปรแกรมติดตั้งที่มีมัลแวร์ ทำให้ Dell Technologies ได้ออกมาปฏิเสธข้อกล่าวหาดังกล่าว โดยให้เหตุผลว่าเว็บไซต์ของตนไม่มีผลิตภัณฑ์ที่มีมัลแวร์ดังกล่าว
Dell ระบุว่า เว็บไซต์ RVTools ถูกนำออกจากระบบเนื่องจากเป็นเป้าหมายของการโจมตีแบบ Distributed Denial-of-Service (DDoS)
โดยมีข่าวลือที่ระบุว่า Hacker ที่อยู่เบื้องหลังมัลแวร์ Bumblebee ได้ทำการโจมตีพอร์ทัลสำหรับดาวน์โหลดอย่างเป็นทางการดังกล่าว เพื่อนำผู้ใช้ไปยังเว็บไซต์ที่เป็นอันตราย ซึ่งเป็นทางเลือกอื่นสำหรับเครื่องมือดังกล่าว
ทั้งนี้เพื่อป้องกันความเสี่ยงจากการถูกโจมตีดังกล่าว ขอแนะนำให้ดาวน์โหลดจากแหล่งที่เป็น official และ package manager รวมถึงทำการตรวจสอบ hash ของตัวติดตั้งตามข้อมูลเวอร์ชันที่ถูกต้องก่อนที่จะทำการติดตั้ง
ที่มา : bleepingcomputer
You must be logged in to post a comment.