การโจมตีแบบฟิชชิงบน WhatsApp ใช้เอกสารทางธุรกิจปลอมเพื่อควบคุมคอมพิวเตอร์ แคมเปญมัลแวร์ที่กำลังแพร่ระบาดอยู่ในขณะนี้ กำลังมุ่งเป้าไปที่ผู้ใช้งาน WhatsApp ในหลายประเทศ โดยใช้ข้อความหลอกลวงเพื่อส่งไฟล์ VBScript ซึ่งจะนำไปสู่การเข้าถึงระบบจากระยะไกล กลุ่มผู้โจมตีได้ตั้งชื่อไฟล์เลียนแบบเอกสารทางธุรกิจ และการเงิน โดยส่งมาจากบัญชีรายชื่อผู้ติดต่อของเป้าหมายที่ถูกโจมตี และถูกควบคุมไปก่อนหน้านี้ เพื่อหลอกให้เป้าหมายไม่ทันระวัง เมื่อผู้รับดาวน์โหลด และเปิดรันไฟล์แนบที่เป็นอันตรายดังกล่าว จะทำให้เริ่มกระบวนการ Infection chain ที่นำไปสู่การแอบติดตั้งโปรแกรม ManageEngine Endpoint Central ซึ่งเป็นซอฟต์แวร์ที่ถูกใช้สำหรับผู้ดูแลระบบ IT ในการจัดการระบบคอมพิวเตอร์จากระบบส่วนกลาง ข้อมูลทางสถิติ จากบริษัทรักษาความปลอดภัยทางไซเบอร์ Kaspersky แสดงให้เห็นว่า แคมเปญนี้ได้แพร่กระจายไปในประเทศบราซิล, อินเดีย, เม็กซิโก, สิงคโปร์, สหราชอาณาจักร, สเปน, ไต้หวัน, ออสเตรเลีย, รัสเซีย, เวียดนาม และมาเลเซีย ลำดับการโจมตี Kaspersky รายงานว่า การโจมตีเริ่มต้นจากข้อความที่ถูกส่งมาจากบัญชีผู้ใช้ที่โดนโจมตี ซึ่งภายในข้อความนั้นไม่มีไฟล์อื่นนอกเหนือจากไฟล์ VBS ที่มีการซ่อนโค้ดอันตรายไว้อย่างซับซ้อน ไฟล์เหล่านี้จะถูกตั้งชื่อเพื่อหลอกให้ดูเหมือนเป็นรายงานทางการเงิน, ใบแจ้งหนี้, ประกาศแจ้งเตือนเกี่ยวกับบัญชี หรือเอกสารในลักษณะใกล้เคียงกัน เพื่อดึงดูดความสนใจของเป้าหมาย และโน้มน้าวให้เปิดไฟล์ดังกล่าว นอกจากนี้ ชื่อไฟล์ยังถูกปรับเปลี่ยนให้เป็นภาษาท้องถิ่นของแต่ละประเทศ ซึ่งยิ่งช่วยยืนยันว่าแคมเปญการโจมตีนี้มีการแพร่กระจาย และมุ่งเป้าหมายไปทั่วโลก Kaspersky ระบุว่า จากหลักฐานที่รวบรวมมาจากผู้ใช้งานหลายราย ผ่านรายงานบนโซเชียลมีเดีย และตัวอย่างไฟล์ที่ถูกส่งเข้ามา สามารถสรุปได้ว่ากลุ่มผู้โจมตี ได้สิทธิ์ในการเข้าถึงบัญชี WhatsApp หลายบัญชี และใช้บัญชีเหล่านั้นเพื่อกระจายไฟล์ VBScript ที่เป็นอันตรายไปยังรายชื่อผู้ติดต่อทั้งหมดของบัญชีนั้น ๆ ณ เวลาที่เขียนบทความนี้ วิธีการที่ใช้ในการโจมตีบัญชี WhatsApp เหล่านี้ยังคงไม่เป็นที่ทราบแน่ชัด หากเป้าหมายดาวน์โหลด และเปิดไฟล์ดังกล่าวบนระบบปฏิบัติการ Windows ตัว VBScript จะทำการดึงสคริปต์เพิ่มเติมอีกสองตัวมาจากเซิร์ฟเวอร์ของผู้โจมตี ซึ่งสคริปต์เหล่านั้นจะเข้าไปปิดระบบป้องกัน UAC (User Account Control) ผ่านการแก้ไขค่า Registry และดำเนินการดาวน์โหลดไฟล์ ZIP ที่มีโปรแกรม ManageEngine Endpoint Central อยู่ภายใน ซอฟต์แวร์นี้จะถูกติดตั้งอย่างลับ ๆ ในเบื้องหลัง และถูกตั้งค่าให้เชื่อมต่อไปยังเซิร์ฟเวอร์ของผู้โจมตี ซึ่งช่วยให้สามารถเข้าถึง และควบคุมระบบจากระยะไกลบนคอมพิวเตอร์ของเป้าหมายได้ Kaspersky ระบุว่า เมื่อไฟล์ VBScript เริ่มต้นจะถูกส่งผ่าน WhatsApp Web ตัวไฟล์จะต้องถูกดาวน์โหลดลงเครื่องก่อน แต่หากเปิดผ่านโปรแกรม WhatsApp Desktop ไฟล์ดังกล่าวจะสามารถรันได้โดยตรงผ่าน Windows Script Host แม้ว่า Kaspersky จะไม่ได้ระบุว่าการโจมตีนี้มาจากกลุ่มผู้โจมตีรายใด แต่นักวิจัยพบหลักฐานของการใช้ภาษาจีน และ Infrastructure รวมถึง IP ที่คล้ายกับการโจมตีด้วยที่มัลแวร์ ValleyRAT และ Gh0st RAT ในอดีต อย่างไรก็ตาม ยังมีหลักฐานไม่เพียงพอที่จะระบุตัวตนผู้อยู่เบื้องหลังการโจมตีได้อย่างมั่นใจ ผู้ใช้ WhatsApp ควรระมัดระวังไฟล์ที่ส่งมาจากผู้ติดต่อ แม้จะมาจากผู้ติดต่อที่ไว้ใจได้ และควรตรวจสอบความถูกต้องผ่านช่องทางอื่นเสมอ นอกจากนี้ ไฟล์ที่ดาวน์โหลดมาทั้งหมดควรสแกนด้วยโปรแกรมป้องกันไวรัสที่อัปเดตแล้วก่อนที่จะเรียกใช้งาน ที่มา : Bleepingcomputer
แคมเปญมัลแวร์ที่กำลังแพร่ระบาดอยู่ในขณะนี้ กำลังมุ่งเป้าไปที่ผู้ใช้งาน WhatsApp ในหลายประเทศ โดยใช้ข้อความหลอกลวงเพื่อส่งไฟล์ VBScript ซึ่งจะนำไปสู่การเข้าถึงระบบจากระยะไกล
กลุ่มผู้โจมตีได้ตั้งชื่อไฟล์เลียนแบบเอกสารทางธุรกิจ และการเงิน โดยส่งมาจากบัญชีรายชื่อผู้ติดต่อของเป้าหมายที่ถูกโจมตี และถูกควบคุมไปก่อนหน้านี้ เพื่อหลอกให้เป้าหมายไม่ทันระวัง
เมื่อผู้รับดาวน์โหลด และเปิดรันไฟล์แนบที่เป็นอันตรายดังกล่าว จะทำให้เริ่มกระบวนการ Infection chain ที่นำไปสู่การแอบติดตั้งโปรแกรม ManageEngine Endpoint Central ซึ่งเป็นซอฟต์แวร์ที่ถูกใช้สำหรับผู้ดูแลระบบ IT ในการจัดการระบบคอมพิวเตอร์จากระบบส่วนกลาง
ข้อมูลทางสถิติ จากบริษัทรักษาความปลอดภัยทางไซเบอร์ Kaspersky แสดงให้เห็นว่า แคมเปญนี้ได้แพร่กระจายไปในประเทศบราซิล, อินเดีย, เม็กซิโก, สิงคโปร์, สหราชอาณาจักร, สเปน, ไต้หวัน, ออสเตรเลีย, รัสเซีย, เวียดนาม และมาเลเซีย
ลำดับการโจมตี
Kaspersky รายงานว่า การโจมตีเริ่มต้นจากข้อความที่ถูกส่งมาจากบัญชีผู้ใช้ที่โดนโจมตี ซึ่งภายในข้อความนั้นไม่มีไฟล์อื่นนอกเหนือจากไฟล์ VBS ที่มีการซ่อนโค้ดอันตรายไว้อย่างซับซ้อน
ไฟล์เหล่านี้จะถูกตั้งชื่อเพื่อหลอกให้ดูเหมือนเป็นรายงานทางการเงิน, ใบแจ้งหนี้, ประกาศแจ้งเตือนเกี่ยวกับบัญชี หรือเอกสารในลักษณะใกล้เคียงกัน เพื่อดึงดูดความสนใจของเป้าหมาย และโน้มน้าวให้เปิดไฟล์ดังกล่าว
นอกจากนี้ ชื่อไฟล์ยังถูกปรับเปลี่ยนให้เป็นภาษาท้องถิ่นของแต่ละประเทศ ซึ่งยิ่งช่วยยืนยันว่าแคมเปญการโจมตีนี้มีการแพร่กระจาย และมุ่งเป้าหมายไปทั่วโลก
Kaspersky ระบุว่า จากหลักฐานที่รวบรวมมาจากผู้ใช้งานหลายราย ผ่านรายงานบนโซเชียลมีเดีย และตัวอย่างไฟล์ที่ถูกส่งเข้ามา สามารถสรุปได้ว่ากลุ่มผู้โจมตี ได้สิทธิ์ในการเข้าถึงบัญชี WhatsApp หลายบัญชี และใช้บัญชีเหล่านั้นเพื่อกระจายไฟล์ VBScript ที่เป็นอันตรายไปยังรายชื่อผู้ติดต่อทั้งหมดของบัญชีนั้น ๆ
ณ เวลาที่เขียนบทความนี้ วิธีการที่ใช้ในการโจมตีบัญชี WhatsApp เหล่านี้ยังคงไม่เป็นที่ทราบแน่ชัด
หากเป้าหมายดาวน์โหลด และเปิดไฟล์ดังกล่าวบนระบบปฏิบัติการ Windows ตัว VBScript จะทำการดึงสคริปต์เพิ่มเติมอีกสองตัวมาจากเซิร์ฟเวอร์ของผู้โจมตี ซึ่งสคริปต์เหล่านั้นจะเข้าไปปิดระบบป้องกัน UAC (User Account Control) ผ่านการแก้ไขค่า Registry และดำเนินการดาวน์โหลดไฟล์ ZIP ที่มีโปรแกรม ManageEngine Endpoint Central อยู่ภายใน
ซอฟต์แวร์นี้จะถูกติดตั้งอย่างลับ ๆ ในเบื้องหลัง และถูกตั้งค่าให้เชื่อมต่อไปยังเซิร์ฟเวอร์ของผู้โจมตี ซึ่งช่วยให้สามารถเข้าถึง และควบคุมระบบจากระยะไกลบนคอมพิวเตอร์ของเป้าหมายได้
Kaspersky ระบุว่า เมื่อไฟล์ VBScript เริ่มต้นจะถูกส่งผ่าน WhatsApp Web ตัวไฟล์จะต้องถูกดาวน์โหลดลงเครื่องก่อน แต่หากเปิดผ่านโปรแกรม WhatsApp Desktop ไฟล์ดังกล่าวจะสามารถรันได้โดยตรงผ่าน Windows Script Host
แม้ว่า Kaspersky จะไม่ได้ระบุว่าการโจมตีนี้มาจากกลุ่มผู้โจมตีรายใด แต่นักวิจัยพบหลักฐานของการใช้ภาษาจีน และ Infrastructure รวมถึง IP ที่คล้ายกับการโจมตีด้วยที่มัลแวร์ ValleyRAT และ Gh0st RAT ในอดีต
อย่างไรก็ตาม ยังมีหลักฐานไม่เพียงพอที่จะระบุตัวตนผู้อยู่เบื้องหลังการโจมตีได้อย่างมั่นใจ
ผู้ใช้ WhatsApp ควรระมัดระวังไฟล์ที่ส่งมาจากผู้ติดต่อ แม้จะมาจากผู้ติดต่อที่ไว้ใจได้ และควรตรวจสอบความถูกต้องผ่านช่องทางอื่นเสมอ
นอกจากนี้ ไฟล์ที่ดาวน์โหลดมาทั้งหมดควรสแกนด้วยโปรแกรมป้องกันไวรัสที่อัปเดตแล้วก่อนที่จะเรียกใช้งาน
ที่มา : Bleepingcomputer