แฮ็กเกอร์ใช้เทคนิค SEO poisoning และโฆษณาบนเครื่องมือค้นหา เพื่อหลอกผู้ใช้ให้ดาวน์โหลดโปรแกรมติดตั้ง Microsoft Teams ปลอม ซึ่งโปรแกรมดังกล่าวจะติดตั้งมัลแวร์ Oyster ซึ่งเป็น backdoor บนระบบ Windows ทำให้แฮ็กเกอร์สามารถเข้าถึงเครือข่ายขององค์กรในเบื้องต้นได้
มัลแวร์ Oyster ซึ่งรู้จักกันอีกชื่อว่า Broomstick และ CleanUpLoader เป็น backdoor ที่ถูกพบครั้งแรกช่วงกลางปี 2023 และนับแต่นั้นมาก็ถูกเชื่อมโยงกับแคมเปญโจมตีหลายครั้ง มัลแวร์ตัวนี้เปิดทางให้ผู้โจมตีสามารถเข้าถึงอุปกรณ์ที่ติดมัลแวร์จากภายนอก ดำเนินการคำสั่งต่าง ๆ ส่งเพย์โหลดเพิ่มเติม รวมถึงถ่ายโอนไฟล์ได้ตามต้องการ
Oyster มักแพร่กระจายผ่านแคมเปญ malvertising (โฆษณาแฝงมัลแวร์) ที่ปลอมตัวเป็นเครื่องมือ IT ยอดนิยมอย่าง Putty และ WinSCP ขณะเดียวกัน กลุ่มปฏิบัติการแรนซัมแวร์อย่าง Rhysida ก็เคยใช้มัลแวร์ตัวนี้ในการเจาะเข้าเครือข่ายขององค์กรมาแล้วเช่นกัน
มัลแวร์แพร่ผ่านตัวติดตั้ง Microsoft Teams ปลอม
Blackpoint SOC ตรวจพบแคมเปญ malvertising และ SEO poisoning รูปแบบใหม่ ซึ่งผู้โจมตีใช้เว็บไซต์ปลอมที่ถูกออกแบบให้แสดงขึ้นเมื่อมีผู้ค้นหาคำว่า “Teams download” เพื่อหลอกให้เหยื่อดาวน์โหลดมัลแวร์โดยไม่รู้ตัว
แม้ว่าโฆษณา และโดเมนที่ใช้จะไม่ได้แอบอ้างเป็นของ Microsoft โดยตรง แต่ผู้ใช้งานจะถูกนำไปยังเว็บไซต์ teams-install[.]top ซึ่งเลียนแบบหน้าดาวน์โหลด Microsoft Teams ของจริง เมื่อคลิกลิงก์ดาวน์โหลด ผู้ใช้จะได้รับไฟล์ชื่อ "MSTeamsSetup.exe" ซึ่งเป็นชื่อไฟล์เดียวกับที่ใช้ในการดาวน์โหลดจากเว็บไซต์ทางการของ Microsoft
ไฟล์ MSTeamsSetup.exe ที่เป็นอันตราย (VirusTotal) ถูกทำให้ดูน่าเชื่อถือด้วย certificates จาก “4th State Oy” และ “NRM NETWORK RISK MANAGEMENT INC” เพื่อหลอกให้เหยื่อหลงเชื่อ
อย่างไรก็ตาม เมื่อรันตัวติดตั้งปลอม จะมีการวางไฟล์ DLL ที่เป็นอันตรายชื่อ CaptureService.dll [VirusTotal] ลงในโฟลเดอร์ %APPDATA%\Roaming
ตัวติดตั้งจะสร้าง scheduled task ชื่อ "CaptureService" เพื่อให้ backdoor ทำงานอย่างต่อเนื่อง โดยจะเรียกใช้ไฟล์ DLL ทุก 11 นาที ทำให้ backdoor ยังคงทำงานอยู่ได้แม้ว่าจะรีบูตเครื่องไปแล้วก็ตาม
พฤติกรรมนี้มีลักษณะคล้ายกับตัวติดตั้งปลอมของ Google Chrome และ Microsoft Teams ที่เคยแพร่กระจายมัลแวร์ Oyster มาก่อน ซึ่งแสดงให้เห็นว่าเทคนิค SEO poisoning และ malvertising ยังคงเป็นกลยุทธ์ยอดนิยมในการเจาะเข้าระบบเครือข่ายองค์กร
ทีม Blackpoint สรุปว่า พฤติกรรมนี้แสดงให้เห็นถึงการโจมตีอย่างต่อเนื่องจาก SEO poisoning และโฆษณาที่เป็นอันตราย เพื่อแฝงมัลแวร์ backdoor ในรูปแบบซอฟต์แวร์ที่ดูน่าเชื่อถือ
คล้ายกับแคมเปญปลอมของ PuTTY ที่เคยถูกพบเมื่อต้นปีนี้ ผู้โจมตีใช้ประโยชน์จากความไว้วางใจของผู้ใช้ในผลการค้นหา และแบรนด์ที่เป็นที่รู้จัก เพื่อเปิดทางเข้าระบบในขั้นแรก
เนื่องจากผู้ดูแลระบบไอทีเป็นเป้าหมายหลักในการเข้าถึงข้อมูล Credential ที่มีสิทธิ์สูง จึงแนะนำให้ดาวน์โหลดซอฟต์แวร์เฉพาะจากเว็บไซต์ที่ได้รับการรับรองเท่านั้น และควรหลีกเลี่ยงการคลิกโฆษณาบนเครื่องมือค้นหา
ที่มา : bleepingcomputer
You must be logged in to post a comment.