Cybercrime service ที่เพิ่งถูกค้นพบใหม่ชื่อ 1Campaign ช่วยให้ผู้โจมตีสามารถ run โฆษณาที่เป็นอันตรายบน Google Ads ได้นานขึ้น โดยสามารถหลบเลี่ยงการตรวจสอบจากเหล่านักวิจัยด้านความปลอดภัยได้
1Campaign คือ Cloaking service ที่ทำให้โฆษณาสามารถผ่านกระบวนการคัดกรองของ Google มาได้ โดยระบบจะแสดงเนื้อหาที่เป็นอันตรายให้เฉพาะกับเหยื่อที่เป็นคนจริงเท่านั้น ในขณะที่นักวิจัยด้านความปลอดภัย หรือระบบสแกนอัตโนมัติจะถูกหลอกให้เห็นเพียงหน้า White pages ที่ไม่เป็นอันตราย
จากรายงานของบริษัทด้านความปลอดภัยข้อมูล Varonis ระบุว่า เหตุการณ์นี้เกิดขึ้นมาแล้วอย่างน้อยสามปี และบริหารจัดการโดยนักพัฒนาที่ใช้ชื่อว่า DuppyMeister
นักวิจัยระบุว่า เครื่องมือนี้ผ่านการตรวจสอบของ Google โดยจะคัดกรองเหล่านักวิจัยด้านความปลอดภัยออกไป และทำให้หน้าเว็บหลอกลวง และหน้าเว็บขโมยคริปโตเคอร์เรนซีออนไลน์อยู่นานที่สุดเท่าที่จะเป็นไปได้ โดยจะมีการนำผู้ใช้จริงไปยังเว็บไซต์ที่ผู้โจมตีควบคุมอยู่
1Campaign ให้บริการแก่ลูกค้าผ่าน Dashboard ที่ใช้งานง่าย ซึ่งสามารถดูภาพรวมของการดำเนินงาน และตั้งค่าพารามิเตอร์ต่าง ๆ สำหรับแคมเปญของตนเองได้
แพลตฟอร์มนี้สามารถคัดกรองผู้เข้าชมได้แบบเรียลไทม์ โดยจะกำหนดเส้นทางการเข้าชมไปยังหน้า Landing Page ตามเกณฑ์ที่กำหนดไว้ล่วงหน้า ไม่ว่าจะเป็นตำแหน่งทางภูมิศาสตร์, ผู้ให้บริการอินเทอร์เน็ต (ISP) ไปจนถึงคุณลักษณะเฉพาะของอุปกรณ์
นักวิจัยระบุว่า วิธีการกำหนดเป้าหมายนี้ช่วยให้ผู้โจมตีสามารถมุ่งเน้นไปที่ผู้ใช้งานในภูมิภาคที่การ Phishing นั้นใช้ได้ผล และในขณะเดียวกันก็คัดกรองการรับส่งข้อมูลจากประเทศที่มีโอกาสสูงที่จะถูกตรวจสอบด้านความปลอดภัย หรือถูกระบบสแกนตรวจพบ
ในกรณีตัวอย่างหนึ่ง Varonis สังเกตเห็นการคัดกรองที่เข้มงวด โดยมีการบล็อกผู้เข้าชมถึง 99.4% จากทั้งหมด 1,676 รายที่พยายามเข้าถึงโฆษณาที่เป็นอันตราย ซึ่งหมายความว่ามีผู้ใช้งานจริงเพียง 0.6% หรือแค่ 10 รายเท่านั้นที่ผ่านเข้าไปถึงหน้าเว็บอันตรายได้
ระบบจะทำการประเมินผู้เข้าชมแต่ละราย และกำหนด Fraud risk score ตั้งแต่ 0 ถึง 100 ซึ่งคะแนนนี้สะท้อนถึงความเป็นไปได้ที่ผู้เข้าชมจะไม่ใช่ผู้เข้าชมจริง โดยวิเคราะห์จากการตรวจสอบรายละเอียดของโครงสร้างพื้นฐาน เช่น ผู้ให้บริการคลาวด์, ศูนย์ข้อมูล (Data centers), VPN และผู้ให้บริการด้านความปลอดภัย
Varonis ระบุในรายงานว่า ผู้เข้าชมที่มาจาก Microsoft Corporation, Google, Tencent Cloud Computing, OVH Hosting และผู้ให้บริการคลาวด์รายอื่น ๆ จะถูกระบุโดยอัตโนมัติว่ามีคะแนนความเสี่ยงสูง และจะถูกบล็อกทันที
ระบบยังสามารถตรวจสอบได้ว่าโฆษณาอันตรายนั้นถูกเข้าถึงโดยระบบสแกนด้านความปลอดภัยหรือไม่ โดยพิจารณาจาก IP address ranges, ผู้ให้บริการอินเทอร์เน็ต (ISP) และรูปแบบพฤติกรรมการใช้งาน
Varonis พบว่า ข้อมูลการรับส่งที่เชื่อมโยงกับ 1Campaign ถูกแพร่กระจายไปในหลายประเทศ ได้แก่ สหรัฐอเมริกา, แคนาดา, เนเธอร์แลนด์, จีน, เยอรมนี, ฝรั่งเศส, ญี่ปุ่น, ฮังการี และแอลเบเนีย
นอกจากนี้ cybercrime platform ดังกล่าว ยังมีเครื่องมือ Google Ads launcher ที่ช่วยให้ผู้ใช้งานสามารถเรียกใช้แคมเปญทั้งที่เป็นอันตราย และไม่เป็นอันตรายได้ โดยผู้พัฒนาอ้างว่าเครื่องมือนี้สามารถ Bypass Google’s policy limitations และยังแอบอ้างเป็นแบรนด์ที่ถูกต้องในโฆษณาได้อีกด้วย
แม้ว่า Google จะได้นำมาตรการป้องกันหลายอย่างมาใช้แล้ว แต่แพลตฟอร์มโฆษณาของ Google ก็ยังคงถูกใช้เพื่อส่งเสริมการหลอกลวง มัลแวร์ และการขโมยคริปโตเคอร์เรนซี อย่างไรก็ตาม 1Campaign นั้นมีความโดดเด่นเป็นพิเศษ เนื่องจากมันถูกออกแบบมาโดยเฉพาะเพื่อปล่อยโฆษณาที่เป็นอันตราย ซึ่งสามารถผ่านการตรวจสอบของ Google และมีแนวโน้มที่จะอยู่ได้นานจนกว่าจะมีผู้ที่ได้รับผลกระทบมารายงาน หรือแคมเปญนั้นจะถูกรายงานด้วยตนเอง
ระบบซ่อนตัว (Cloaking system) ดังกล่าว ส่งผลให้การสแกน URL แบบ Static URL scanning มีประสิทธิภาพน้อยลง โดย Varonis ระบุว่า การใช้ Browser fingerprints ที่สมจริง และรูปแบบพฤติกรรมที่เลียนแบบการโต้ตอบของมนุษย์ จะช่วยให้ผลการวิเคราะห์ และการตรวจจับมีประสิทธิภาพดีมากขึ้น
สำหรับการตรวจจับแบบ automated Varonis แนะนำให้มีการหมุนเวียนใช้กลุ่ม IP ที่หลากหลาย และการกำหนดค่า User-Agent เพื่อหลีกเลี่ยงการถูกตรวจจับด้วย Fingerprinting แบบเดิม ๆ
ขอแนะนำให้ผู้ใช้หลีกเลี่ยง และระมัดระวังการคลิกผลการค้นหาที่เป็นโฆษณาที่ถูก promoted ขึ้นมา และ Bookmark ช่องทางดาวน์โหลดซอฟต์แวร์ที่เป็นทางการไว้ใช้งาน
แนะนำให้ตรวจสอบ URL ในแถบ Address bar ซ้ำอีกครั้งก่อนกรอกข้อมูล credentials เพื่อเข้าสู่ระบบ หรือข้อมูลที่สำคัญอื่น ๆ
ที่มา : bleepingcomputer
You must be logged in to post a comment.