พบการใช้โดเมนที่สะกดผิด ซึ่งปลอมแปลงเป็นเครื่องมือ Microsoft Activation Scripts (MAS) ถูกนำมาใช้เพื่อแพร่กระจายสคริปต์ PowerShell ที่เป็นอันตราย และอาจทำให้เหยื่อติดมัลแวร์ที่ชื่อว่า Cosmali Loader
BleepingComputer พบว่าผู้ใช้ MAS หลายรายเริ่มรายงานบน Reddit เมื่อวานนี้ว่าพวกเขาได้รับการแจ้งเตือนป๊อปอัพบนระบบของพวกเขาเกี่ยวกับการติดมัลแวร์ Cosmali Loader โดยมีข้อความตัวอย่างเช่น
"คอมพิวเตอร์ของคุณติดมัลแวร์ที่ชื่อ cosmali loader เนื่องจากคุณพิมพ์ชื่อโดเมนผิดจาก get[.]activated[.]win เป็น get[.]activate[.]win ในขณะที่ activate Windows ใน PowerShell
Panel ของมัลแวร์นี้ไม่ปลอดภัย และทุกคนที่เข้าดู Panel นี้ จะสามารถเข้าถึงคอมพิวเตอร์ของคุณได้
ติดตั้ง Windows ใหม่ และอย่าทำผิดพลาดซ้ำอีกในครั้งต่อไป
หากต้องการหลักฐานว่าเครื่องคอมพิวเตอร์ของคุณติดมัลแวร์จริง ให้ตรวจสอบที่ Task Manager แล้วตรวจสอบหา Process ของ PowerShell ที่ผิดปกติ"
จากรายงาน ผู้โจมตีได้สร้างโดเมนที่คล้ายคลึงกันขึ้นมา คือ get[.]activate[.]win ซึ่งมีลักษณะคล้ายคลึงกับโดเมนที่ถูกต้อง ซึ่งระบุไว้ในคำแนะนำการเปิดใช้งาน MAS อย่างเป็นทางการนั่นคือ get[.]activated[.]win
เนื่องจากความแตกต่างระหว่างทั้งสองคือตัวอักษรเพียงตัวเดียว ("d") ผู้โจมตีจึงคาดการณ์ว่าผู้ใช้จะพิมพ์โดเมนผิด
นักวิจัยด้านความปลอดภัย RussianPanda ค้นพบว่าการแจ้งเตือนเหล่านี้เกี่ยวข้องกับมัลแวร์ Cosmali Loader และอาจเกี่ยวข้องกับการแจ้งเตือนแบบป๊อปอัพที่คล้ายกัน ซึ่งพบโดย Karsten Hahn นักวิเคราะห์มัลแวร์จาก GDATA
RussianPanda ให้ข้อมูลกับ BleepingComputer ว่า Cosmali Loader มาพร้อมกับโปรแกรมขุดคริปโตเคอร์เรนซี และมัลแวร์ประเภทโทรจันที่ชื่อ XWorm สำหรับเข้าถึงจากระยะไกล
แม้จะไม่ชัดเจนว่าใครเป็นผู้ส่งข้อความเตือนไปยังผู้ใช้ แต่ก็มีความเป็นไปได้ว่าอาจเป็นนักวิจัยที่มีเจตนาดีได้เข้าถึง Panel ของมัลแวร์ และใช้มันเพื่อแจ้งให้ผู้ใช้ทราบถึงการถูกโจมตี
MAS (Microsoft Activation Scripts) คือชุดสคริปต์ PowerShell แบบโอเพนซอร์ส ที่ช่วยอำนวยความสะดวกในการเปิดใช้งาน Microsoft Windows และ Microsoft Office โดยอัตโนมัติ ผ่านการใช้งาน HWID activation, KMS emulation และวิธีการ bypasses ต่าง ๆ เช่น Ohook, TSforge
โปรเจกต์นี้อยู่บน GitHub และมีการดูแลอย่างเปิดเผย อย่างไรก็ตาม Microsoft มองว่าเครื่องมือนี้เป็นเครื่องมือละเมิดลิขสิทธิ์ ซึ่งทำการเปิดใช้งานผลิตภัณฑ์โดยไม่มี license ที่ถูกต้อง ซึ่งใช้วิธีการที่ไม่ได้รับอนุญาตเพื่อหลีกเลี่ยงระบบตรวจสอบลิขสิทธิ์ของบริษัท
ผู้ดูแลโครงการยังได้เตือนผู้ใช้เกี่ยวกับแคมเปญดังกล่าว และขอให้ตรวจสอบคำสั่งที่พิมพ์ก่อนที่จะดำเนินการ
ขอแนะนำให้ผู้ใช้หลีกเลี่ยงการเรียกใช้โค้ดจากระยะไกลหากไม่เข้าใจการทำงานของโค้ดนั้น และควรทดสอบใน Sandbox เสมอ รวมไปถึงหลีกเลี่ยงการพิมพ์คำสั่งซ้ำเพื่อลดความเสี่ยงในการดึงข้อมูลที่เป็นอันตรายจากโดเมนที่สะกดผิด
ทั้งนี้ โปรแกรมที่มีการเปิดใช้งาน Windows ที่ไม่ใช่เวอร์ชัน official ถูกนำมาใช้เป็นช่องทางในการแพร่กระจายมัลแวร์อยู่บ่อยครั้ง ดังนั้นผู้ใช้จึงจำเป็นต้องตระหนักถึงความเสี่ยง และใช้ความระมัดระวังเมื่อใช้เครื่องมือดังกล่าว
ที่มา : bleepingcomputer
You must be logged in to post a comment.