อาชญากรไซเบอร์กำลังหันมาใช้แพลตฟอร์ม short video เช่น TikTok และ Instagram Reels เป็นเครื่องมือในการแพร่กระจายมัลแวร์มากขึ้น
ผู้โจมตีได้เปลี่ยนจากการส่ง phishing emails มาเป็นการใช้ประโยชน์จากอัลกอริทึมของแอปพลิเคชันโซเชียลมีเดียยอดนิยม เพื่อหลอกลวงผู้ใช้ที่ไม่ทันระวังตัว
แคมเปญวิดีโอที่ได้รับการตัดต่ออย่างแนบเนียนเหล่านี้ หลอกว่าจะให้ subscriptions ของซอฟต์แวร์ที่มีมูลค่า เช่น การสมัครสมาชิก Spotify Premium ฟรี, การเปิดใช้งาน Windows activations และสิทธิ์การใช้งาน Microsoft Office ฟรี อย่างไรก็ตาม แทนที่จะให้ premium services จริง วิดีโอสอนการใช้งานที่เป็นอันตรายเหล่านี้กลับหลอกให้ผู้ใช้ติดตั้ง infostealer malware ที่เป็นอันตรายลงบนอุปกรณ์ Windows ของตนแทน ด้วยธรรมชาติของ short video ที่สามารถแพร่กระจายได้อย่างรวดเร็ว ทำให้ผู้โจมตีสามารถล่อลวงเหยื่อไปยังเว็บไซต์ดาวน์โหลดที่เป็นอันตราย หรือหลอกให้รันคำสั่งที่เป็นอันตรายบนเครื่องของตนเองได้สำเร็จ
ในอดีต ผู้โจมตีพึ่งพาแคมเปญ spam emails ขนาดใหญ่เป็นหลักในการแพร่กระจายไฟล์แนบที่เป็นอันตราย แต่ในปัจจุบัน รูปแบบของภัยคุกคามได้มีวิวัฒนาการไปอย่างมาก หน่วยงานความมั่นคงปลอดภัยไซเบอร์แห่งชาติ และนักวิจัยอิสระยืนยันถึงแนวโน้มที่เพิ่มขึ้น ซึ่งผู้โจมตีใช้แพลตฟอร์มวิดีโอเพื่อหลบเลี่ยงอีเมลเกตเวย์ขององค์กรโดยสิ้นเชิง เพื่อมุ่งเป้าไปที่ผู้ใช้ในระหว่างการใช้งานอินเทอร์เน็ตทั่วไป
กลไกของกลโกงบนโซเชียลมีเดียเหล่านี้พึ่งพาวิธีการ social engineering และการสร้างแบรนด์ที่ดูเป็นมืออาชีพอย่างมาก ผู้โจมตีจะดำเนินงานผ่านบัญชีที่มีชื่อที่ฟังดูน่าเชื่อถือ เช่น “windows.tips” หรือ “windows.insights” โดยใช้แบรนด์ของ Windows ที่ถูกขโมยมาเพื่อสร้างความไว้วางใจกับผู้ใช้ พวกเขาโพสต์วิดีโอสอนการใช้งานที่ดูดี และตัดต่ออย่างมืออาชีพ ซึ่งผสมผสานเข้ากับการแก้ไขปัญหาทางเทคนิค และเคล็ดลับด้านไอทีได้อย่างแนบเนียน เพื่อให้เข้าถึงผู้ชมได้มากที่สุด วิดีโอเหล่านี้ได้รับการปรับแต่งด้วยแฮชแท็ก และคีย์เวิร์ดที่เกี่ยวข้อง ช่วยให้อาชญากรไซเบอร์สามารถใช้ประโยชน์จากระบบแนะนำเนื้อหาของแพลตฟอร์มได้อย่างมีประสิทธิภาพเช่นเดียวกับการทำ digital marketing
ในวิดีโอเหล่านี้ ผู้ใช้จะได้รับคำแนะนำทีละขั้นตอนเพื่อปลดล็อกซอฟต์แวร์พรีเมียม การหลอกลวงเกิดขึ้นเมื่อวิดีโอสอนการใช้งานสั่งให้เหยื่อเปิด PowerShell ซึ่งเป็นเครื่องมือการดูแลระบบ Windows และถูกต้องตามปกติ จากนั้นวิดีโอจะแนะนำให้ผู้ใช้คัดลอก และวางคำสั่งเฉพาะลงใน terminal โดยที่เหยื่อไม่ทราบเลยว่า การรันสคริปต์เหล่านั้นจะเป็นการดาวน์โหลด และเปิดใช้งานเพย์โหลดที่เป็นอันตรายอย่างเงียบ ๆ ซึ่งเป็นกลวิธีที่คล้ายคลึงกับการโจมตีแบบ ClickFix ที่เกิดขึ้นเมื่อเร็ว ๆ นี้
เพย์โหลดหลักที่ถูกส่งมาในแคมเปญเหล่านี้คือ Vidar ซึ่งเป็น infostealer malware ที่มีชื่อเสียง และมีประสิทธิภาพสูง เมื่อถูกรันแล้ว Vidar จะเริ่มค้นหาข้อมูล credentials บนอุปกรณ์ Windows เครื่องนั้นทันที โดยมุ่งเป้าไปที่รหัสผ่านของเบราว์เซอร์ที่บันทึกไว้, ข้อมูล autofill, session cookies, cryptocurrency wallets, 2FA tokens และข้อมูลเบราว์เซอร์ TOR อย่างเป็นระบบ หลังจากรวบรวมข้อมูลสำคัญนี้แล้ว มัลแวร์จะส่งข้อมูลที่ขโมยกลับไปยัง command-and-control servers ของผู้โจมตีอย่างเงียบ ๆ
จากรายงานการวิจัยของ Malwarebytes การโจมตีนี้ใช้ประโยชน์จากเครื่องมือระบบที่ติดตั้งไว้ล่วงหน้า เพื่อผสมผสานกิจกรรมที่เป็นอันตรายเข้ากับการทำงานของระบบตามปกติ ทำให้ Antivirus ขั้นพื้นฐานแยกแยะระหว่างการทำงานของระบบตามปกติ และสคริปต์ที่เป็นอันตรายได้ยากขึ้นอย่างมาก ยิ่งไปกว่านั้น นักวิเคราะห์ภัยคุกคามตั้งข้อสังเกตว่า สคริปต์ PowerShell ในระยะเริ่มต้น มักจะเพิ่มการ exclusions เฉพาะเจาะจงไปยัง Windows Defender เพื่อให้แน่ใจว่ามัลแวร์นั้นจะไม่ถูกตรวจพบ
การป้องกันการโจมตีสมัยใหม่ที่ขับเคลื่อนด้วยโซเชียลมีเดียเหล่านี้ จำเป็นต้องอาศัยการเฝ้าระวังทางเทคนิคร่วมกับการตั้งข้อสงสัยอย่างมีเหตุผล
ที่มา : cyberpress
You must be logged in to post a comment.