โปรแกรมติดตั้ง 7-Zip ปลอม เปลี่ยนอุปกรณ์ให้กลายเป็น Residential Proxy Nodes

นักวิจัยด้านความมั่นคงปลอดภัยทางไซเบอร์ได้เปิดเผยรายละเอียดของกลุ่มผู้ไม่หวังดีรายใหม่ที่ใช้ชื่อว่า Lurking Lizard ซึ่งดำเนินธุรกิจให้บริการ Residential Proxy ที่เป็นอันตรายแบบครบวงจร โดยใช้โครงสร้างพื้นฐานที่ประกอบด้วยโดเมนเลียนแบบมากกว่า 230 โดเมน

บริษัทด้าน DNS threat intelligence อย่าง Infoblox ระบุว่า กิจกรรมของกลุ่มนี้มีมาตั้งแต่อย่างน้อยเดือนสิงหาคม ปี 2022 โดยหนึ่งในแคมเปญที่ตรวจพบเมื่อต้นปีนี้ กลุ่มผู้โจมตีได้หลอกให้เหยื่อดาวน์โหลดตัวติดตั้ง 7-Zip ที่ถูกฝังมัลแวร์ (Trojanized Installer) จากโดเมน "7zip[.]com" ก่อนจะลักลอบเปลี่ยนอุปกรณ์ที่ติดมัลแวร์ให้กลายเป็นโหนดในเครือข่าย Proxy

นอกจากนี้ Lurking Lizard ยังปลอมตัวเป็นผู้ให้บริการ Proxy รายใหญ่หลายราย เช่น IPIDEA, SmartProxy (ปัจจุบันคือ Decodo), IP Royal และ 911Proxy รวมถึงสร้างเว็บไซต์รีวิวปลอมที่ดูเหมือนเป็นเว็บไซต์อิสระ เพื่อหลอกให้ผู้ใช้งานเข้าไปซื้อบริการจากเว็บไซต์หลอกลวงของตนเอง ที่น่าสนใจคือ โครงสร้างพื้นฐานของ IPIDEA ถูก Google ดำเนินการปิดระบบไปเมื่อต้นเดือนมกราคมที่ผ่านมา

ต่อมา บริษัท Proxyway พบว่า มี IP Address จำนวน 773,087 รายการ ที่เชื่อมโยงกับ SmartProxy ปรากฏอยู่ในฐานข้อมูล IP ของ IPIDEA ซึ่งเปิดเผยต่อสาธารณะ และมี IP ทั้งหมดกว่า 16.19 ล้านรายการ สิ่งนี้แสดงให้เห็นว่า SmartProxy อาจนำโครงสร้างพื้นฐานของ IPIDEA มาขายต่อโดยตรง หรือใช้เป็นแหล่ง IP หลัก

การวิเคราะห์ข้อมูล WHOIS และลักษณะเฉพาะของโครงสร้างพื้นฐานชี้ว่า Lurking Lizard น่าจะเป็นกลุ่มผู้โจมตีที่มีฐานอยู่ในประเทศจีน โดยใช้บริการ VPN ยอดนิยม และบริการอย่าง HeroSMS เป็นฉากบังหน้าในการเผยแพร่ proxy malware

หนึ่งในเทคนิคที่โดดเด่นของกลุ่มนี้ คือการซื้อโดเมนที่หมดอายุ (Expired Domains) เพื่อนำประวัติการใช้งาน และความน่าเชื่อถือเดิมของโดเมนมาใช้ต่อ เทคนิคนี้เรียกว่า Drop-catching ในบางกรณี ผู้โจมตียังอาศัยความสับสนจากการสะกดชื่อโดเมนผิด เช่น ใช้ "7zip[.]com" แทนเว็บไซต์จริงของ 7-Zip ที่คือ "7-zip[.]org" เพื่อหลอกให้ผู้ใช้งานเข้าใจผิด

การวิเคราะห์เพิ่มเติมเกี่ยวกับ URL ของ IPLogger (iplogger[.]com/mnWD) ที่ฝังอยู่ในตัวอย่างมัลแวร์จากแคมเปญ 7-Zip พบว่า โครงสร้างพื้นฐานเดียวกันนี้ยังถูกใช้ในการเผยแพร่ตัวติดตั้งปลอมของ 7-Zip, WhatsApp, โปรแกรมดาวน์โหลด TikTok และ YouTube ปลอม และ WireVPN

การใช้ชื่อ WireVPN ถือเป็นพัฒนาการล่าสุดของแคมเปญนี้ โดยผู้โจมตีขยายเป้าหมายไปยังผู้ใช้หลายระบบปฏิบัติการ ทั้ง Android, macOS และ Windows แอป Android ตัวหนึ่งชื่อ "wirevpn - Fast Unlimited Proxy" ซึ่งพัฒนาโดยบริษัทในสหราชอาณาจักรชื่อ WEILAI NETWORK TECHNOLOGY CO., LIMITED มียอดดาวน์โหลดมากกว่า 1 ล้านครั้ง แม้ว่ายังไม่สามารถยืนยันได้ว่าการดาวน์โหลดเหล่านั้นเป็นผู้ใช้งานจริงทั้งหมดหรือไม่

Infoblox ระบุว่า "ในแคมเปญ 7-Zip เดิม เหยื่อถูกนำไปยังตัวติดตั้งที่เป็นอันตรายผ่านบทความสอนใช้งาน การค้นหาบนเสิร์ชเอนจิน และโดเมนเลียนแบบ"

อย่างไรก็ตาม ยังไม่แน่ชัดว่าเทคนิคเดียวกันนี้ถูกนำมาใช้กับเวอร์ชันสำหรับเดสก์ท็อปในปัจจุบันหรือไม่ แต่แอปบนมือถืออาจกลายเป็นอีกช่องทางหนึ่งในการดึงดูดเหยื่อ

ขณะเดียวกัน ยังไม่สามารถยืนยันได้ว่าฟังก์ชัน Proxy แบบเดียวกับเวอร์ชันเดสก์ท็อป ซึ่งทำให้อุปกรณ์ของเหยื่อกลายเป็น Exit Node สำหรับส่งต่อทราฟฟิกของ Third Party จะมีอยู่ในแอปมือถือด้วยหรือไม่

อย่างไรก็ตาม ภาพรวมทั้งหมดสะท้อนให้เห็นถึงธุรกิจ Proxy ที่ผิดกฎหมาย ซึ่งมีระบบนิเวศครบวงจร ตั้งแต่การหาเหยื่อ การสร้างโครงสร้างพื้นฐาน Proxy การทำการตลาด ไปจนถึงการสร้างรายได้

รูปแบบการดำเนินงานแบ่งออกเป็น 2 ขั้นตอนหลัก

  • ใช้ตัวติดตั้งที่ฝังมัลแวร์ แอปมือถือ และเหยื่อล่อต่าง ๆ เพื่อเปลี่ยนอุปกรณ์ของผู้ใช้ให้กลายเป็นส่วนหนึ่งของ Proxy Botnet ที่ผู้โจมตีควบคุม
  • นำเครือข่าย Proxy ที่ได้ไปสร้างรายได้ ผ่านแบรนด์ Proxy ปลอม พร้อมใช้เว็บไซต์รีวิวปลอมช่วยดึงลูกค้าเข้าสู่หน้าร้านของตน

Infoblox ระบุเพิ่มเติมว่า "สิ่งที่น่าสนใจคือความคล้ายคลึงระหว่างอาชญากรรมในธุรกิจ Residential Proxy กับการโฆษณามัลแวร์ (Malvertising) ที่พบในธุรกิจ Affiliate Advertising" และเสริมว่า "เรื่องที่หลายคนสนใจคือ สมาร์ททีวีของคุณอาจกำลังเป็นส่วนหนึ่งของ Botnet ขนาดใหญ่ที่ใช้โจมตีอินเทอร์เน็ต แต่ความจริงแล้วเรื่องนี้ซับซ้อนกว่านั้นมาก และจนถึงตอนนี้ก็ยังไม่มีวิธีแก้ไขที่สมบูรณ์"

Lurking Lizard ไม่ได้ดำเนินการเพียงแคมเปญมัลแวร์เพียงชุดเดียว แต่บริหารวงจรธุรกิจ Residential Proxy ครบทุกขั้นตอนมาเป็นเวลาหลายปี ตั้งแต่การหาเหยื่อ การสร้างเครือข่าย ไปจนถึงการทำตลาด และจำหน่ายสิทธิ์เข้าถึงเครือข่ายดังกล่าว

ข่าวนี้เผยแพร่ออกมาเพียงไม่กี่วันหลังจากที่ Google ประกาศว่าสามารถลดศักยภาพของเครือข่าย Residential Proxy ที่ชื่อ NetNut (หรือ Popa) ได้อย่างมีนัยสำคัญ เครือข่ายดังกล่าวได้เปลี่ยนอุปกรณ์มากกว่า 2 ล้านเครื่อง เช่น สมาร์ททีวี และกล่องสตรีมมิง ให้กลายเป็นช่องทางส่งผ่านทราฟฟิกเครือข่ายโดยไม่ได้รับอนุญาต ผ่าน SDK ที่ฝังมัลแวร์ ซึ่งอาจติดตั้งมาจากโรงงานก่อนจำหน่าย หรือแฝงอยู่ในแอปพลิเคชันที่มีโค้ด Proxy ซ่อนอยู่

Google เตือนว่า "สิ่งนี้สร้างความเสี่ยงอย่างมากต่อเจ้าของอุปกรณ์ที่ไม่รู้ตัว เพราะหมายเลข IP ภายในบ้านของพวกเขาอาจถูกผู้โจมตีนำไปใช้เป็นฐานในการแฮ็ก หรือกระทำกิจกรรมที่ไม่ได้รับอนุญาต" และส่งผลให้ "ทราฟฟิกที่ถูกต้องตามกฎหมายของผู้ใช้อาจถูกมองว่าเป็นพฤติกรรมต้องสงสัย หรือแม้แต่ถูกผู้ให้บริการเครือข่ายบล็อกได้"

ที่มา : thehackernews