โดยทั่วไปผู้ไม่หวังดีจะใช้เว็บไซต์ฟิชชิงปลอมในการแพร่กระจายมัลแวร์ เพราะเป็นเรื่องง่ายในการหลอกล่อเหยื่อให้คลิกลิงค์ที่อยู่ในอีเมลฟิชชิง หรือ SMS และมีหลายกรณีที่ผู้ไม่หวังดีปลอมตัวเป็นตัวแทนของผลิตภัณฑ์ หรือแบรนด์ยอดนิยมเพื่อหลอกล่อเหยื่อ สร้างความน่าเชื่อถือ และความถูกต้องเพื่อหลอกผู้ใช้ที่ไม่ได้ระมัดระวัง

Cyble Research and Intelligence Labs (CRIL) รายงานไว้ก่อนหน้านี้ว่าได้ค้นพบเว็บไซต์ฟิชชิงจำนวนมากที่มุ่งเป้าหมายไปที่แอปพลิเคชันต่าง ๆ เช่น เกม, VPN, Remote Desktop (RDP), Video conferencing, เครื่องมือ Converter ออนไลน์ และอื่น ๆ โดยในแคมเปญล่าสุดผู้โจมตีมุ่งเป้าหมายไปที่ผู้ใช้งานแอปพลิเคชัน VPN ซึ่งเป็นเทคโนโลยีที่ช่วยให้ผู้ใช้สามารถสร้างการเชื่อมต่อเครือข่ายที่ปลอดภัย และเป็นส่วนตัว ผ่านเครือข่ายสาธารณะ เช่น อินเทอร์เน็ต เมื่อผู้ใช้เชื่อมต่อกับ VPN ข้อมูลของผู้ใช้จะถูกเข้ารหัสให้เป็นความลับ และป้องกันไม่ให้ถูกดักฟัง หรือการตรวจสอบการเชื่อมต่อได้

เมื่อเร็ว ๆ นี้ CRIL พบการมีอยู่ของเว็บไซต์ของ LetsVPN ปลอมจำนวนมาก ในระหว่างการตรวจสอบหาความเสี่ยง ซึ่งเว็บไซต์ปลอมเหล่านี้มีอินเตอร์เฟซผู้ใช้ร่วมกัน และถูกออกแบบมาเพื่อแพร่กระจายมัลแวร์โดยเฉพาะ โดยปลอมเป็นแอปพลิเคชัน LetsVPN

LetsVPN เป็นแอปพลิเคชัน VPN ที่พัฒนาโดย LetsGo Network ซึ่งมีจุดประสงค์เพื่อเสริมสร้างประสบการณ์ในการใช้งานอินเทอร์เน็ต โดยจะให้การเชื่อมต่อความเร็วสูงพร้อมกับการรักษาความปลอดภัยของอุปกรณ์ผู้ใช้ โดย LetsVPN มีฟังก์ชันที่หลากหลาย เช่น ฟังก์ชันการเชื่อมต่อแบบ Peer-to-Peer, รองรับโปรโตคอลหลายรูปแบบ, ความสามารถในการเรียกดูเว็บไซต์ในภาษาต่าง ๆ, ฟังก์ชันการตัดการเชื่อมต่อ (kill switch) เพื่อเพิ่มความปลอดภัย, ตัวเลือกการจัดการนโยบาย (policy management options) และอื่น ๆ

โดยเว็บไซต์ฟิชชิงมีลักษณะคล้ายกับเว็บไซต์ LetsVPN ทั้งในด้านการดีไซน์ และลักษณะภายนอก ดังที่แสดงในรูปด้านล่าง

รูปด้านล่างแสดงข้อมูล "Whois" ของโดเมนฟิชชิง ซึ่งแสดงให้เห็นว่าโดเมนนี้ถูกลงทะเบียนเมื่อเร็ว ๆ นี้ และมุ่งเป้าหมายไปที่ผู้ใช้ LetsVPN

การวิเคราะห์

มีการระบุว่ามีเว็บไซต์ฟิชชิงหลายแห่งที่ปลอมเป็นเว็บไซต์ LetsVPN ซึ่งเว็บไซต์ฟิชชิงเหล่านี้ถูกออกแบบมาเพื่อหลอกล่อเหยื่อ และล่อลวงให้เหยื่อดาวน์โหลดมัลแวร์ที่เป็นอันตราย

Payload: BlackMoon

เว็บไซต์ LetsVPN ปลอมที่ใช้งานอยู่ในปัจจุบัน

letsvpn[.]club
letsvpn[.]cyou

เว็บไซต์ปลอมเหล่านี้ใช้ในการแพร่กระจายเพย์โหลด BlackMoon banking trojan ซึ่งปลอมตัวเป็นแอปพลิเคชัน VPN ที่ถูกต้อง และสามารถดาวน์โหลดได้ผ่าน URL ต่อไปนี้

hxxps[:]//letsvpn[.]club/kuaiVPN[.]rar
hxxps[:]//letsvpn[.]cyou/down/kuaiVPN[.]rar

BlackMoon หรือที่รู้จักกันในชื่อ KRBanker เป็น banking trojan ที่เน้นการขโมยข้อมูลสำคัญที่เกี่ยวข้องกับการทำธุรกรรมทางการเงิน และธนาคารออนไลน์ ซึ่งถูกพบครั้งแรกในช่วงต้นปี 2014 โดย BlackMoon มีการพัฒนาอยู่ตลอดเวลา โดยใช้วิธีการ และเทคนิคหลายอย่างในการแพร่กระจาย และดักจับข้อมูลประจำตัว กลุ่มเป้าหมายหลักของมัลแวร์ตัวนี้คือบุคคล และองค์กรที่ใช้บริการธนาคารออนไลน์

เพื่อทำให้คอมพิวเตอร์ หรืออุปกรณ์ของเหยื่อติดมัลแวร์นั้น BlackMoon ใช้วิธีการต่าง ๆ รวมถึงการแนบไฟล์ที่เป็นอันตรายในอีเมล, เครื่องมือ Exploit หรือเว็บไซต์ที่ถูกโจมตี เมื่อทำการติดตั้งสำเร็จ โทรจันจะทำงานอย่างลับ ๆ ในเบื้องหลัง โดยซ่อนการทำงานไม่ให้ผู้ใช้งานสังเกตเห็น

มัลแวร์ BlackMoon มีความสามารถต่าง ๆ ที่ช่วยให้สามารถดำเนินกิจกรรมที่เป็นอันตรายได้ ดังนี้

การบันทึกแป้นพิมพ์ (Keylogging) : BlackMoon จะดักจับแป้นพิมพ์ที่เหยื่อป้อนเข้ามา รวมถึงชื่อผู้ใช้, รหัสผ่าน และข้อมูลสำคัญอื่น ๆ ข้อมูลที่ถูกขโมยมาจะถูกส่งไปยัง C2 Server ของผู้โจมตี
การแทรกสคริปต์เว็บ (Web Injection) : BlackMoon สามารถแก้ไขเนื้อหาที่แสดงโดยเว็บเบราว์เซอร์ของเหยื่อ ทำให้สามารถแก้ไข หรือเพิ่มเติมเนื้อหาของหน้าเว็บที่เกี่ยวข้องกับธนาคารออนไลน์ ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลเพิ่มเติม เช่น รหัสความปลอดภัย หรือรายละเอียดการทำธุรกรรม
การเข้าถึงระยะไกล (Remote Access) : โทรจันจะให้การเข้าถึงระยะไกลแก่ผู้โจมตี ทำให้สามารถควบคุมระบบที่โดนโจมตี และนำข้อมูลออกไป หรือดำเนินกิจกรรมที่อันตรายอื่น ๆ
การยึดบัญชี (Account Hijacking) : BlackMoon อาจพยายามเข้าควบคุมบัญชีธนาคารออนไลน์ของเหยื่อ ทำให้ผู้โจมตีสามารถทำธุรกรรมที่ไม่ถูกต้อง หรือเข้าถึงข้อมูลการเงินที่สำคัญได้โดยไม่ได้รับอนุญาต

Payload: Backdoor.

ผู้โจมตีได้มุ่งเป้าหมายการโจมตีไปยังหน่วยงานรัฐบาลด้วยมัลแวร์ PureCrypter ซึ่งพบว่าถูกใช้เพื่อเป็นมัลแวร์สำหรับดาวน์โหลดมัลแวร์ขโมยข้อมูล และแรนซัมแวร์หลายสายพันธุ์

โดยนักวิจัยที่ Menlo Security พบว่าแฮ็กเกอร์ใช้ Discord เป็นโฮสต์สำหรับ payload เริ่มต้น และโจมตีองค์กรไม่แสวงหาผลกำไร เพื่อทำเป็นโฮสต์เพิ่มเติมที่ใช้ในแคมเปญ

แคมเปญนี้มีการโจมตีโดยการใช้มัลแวร์หลายประเภท ได้แก่ Redline Stealer, AgentTesla, Eternity, Blackmoon และ Philadelphia Ransomware และได้กำหนดเป้าหมายไปยังองค์กรรัฐบาลหลายแห่งในภูมิภาคเอเชียแปซิฟิก (APAC) และอเมริกาเหนือ

การโจมตี

การโจมตีเริ่มต้นด้วยอีเมลที่มี URL ของแอป Discord สำหรับดาวน์โหลด PureCrypter ซึ่งอยู่ในไฟล์ ZIP ที่มีการใส่รหัสผ่าน ซึ่งเมื่อเปิดใช้งาน มันจะทำการดาวน์โหลดเพย์โหลดต่อไปจากเซิร์ฟเวอร์ภายนอก ซึ่งในกรณีนี้เป็นเซิร์ฟเวอร์ที่ถูกโจมตีขององค์กรไม่แสวงหาผลกำไรแห่งหนึ่ง

โดยตัวอย่างที่นักวิจัยจาก Menlo Security วิเคราะห์คือ AgentTesla ซึ่งจะสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ FTP ที่ตั้งอยู่ในปากีสถาน เพื่อใช้ในการรับส่งข้อมูลที่ขโมยมา โดยแฮ็กเกอร์จะใช้ข้อมูล credentials ที่มีการรั่วไหลออกมาในการโจมตีเพื่อเข้าควบคุมเซิร์ฟเวอร์ FTP แทนที่จะตั้งเซิร์ฟเวอร์ขึ้นมาเอง เพื่อลดความเสี่ยงจากการถูกระบุตัวตน

AgentTesla เป็นกลุ่มมัลแวร์ .NET ที่ถูกใช้ในกลุ่มผู้โจมตีในช่วง 8 ปีที่ผ่านมา โดยมีการใช้งานสูงสุดในช่วงปลายปี 2020 และต้นปี 2021 แต่ Agent Tesla ยังถือว่าเป็น backdoor ที่มีความสามารถสูง ซึ่งได้รับการพัฒนา และปรับปรุงอย่างต่อเนื่องตลอดหลายปีที่ผ่านมา

โดยพฤติกรรม keylogging ของ AgentTesla คิดเป็นประมาณหนึ่งในสามของรายงาน Keylogger ทั้งหมดที่ Cofense Intelligence บันทึกไว้ในปี 2022

ความสามารถของมัลแวร์ มีดังนี้ :

บันทึกการกดแป้นพิมพ์ของเหยื่อเพื่อเก็บข้อมูลที่มีความสำคัญ เช่น รหัสผ่าน
ขโมยรหัสผ่านที่บันทึกไว้ในเว็บเบราว์เซอร์, email clients หรือ FTP clients
จับภาพหน้าจอของเดสก์ท็อปที่อาจมีข้อมูลที่มีความสำคัญ
ดักจับข้อมูลที่คัดลอกไปยังคลิปบอร์ด รวมถึงข้อความ รหัสผ่าน และรายละเอียดบัตรเครดิ
ส่งข้อมูลที่ถูกขโมยไปยัง C2 ผ่าน FTP หรือ SMTP

ในการโจมตีที่ถูกตรวจสอบโดย Menlo Labs พบว่าแฮ็กเกอร์ใช้ process hollowing เพื่อแทรก Payload ของ AgentTesla เข้าสู่ proces (“cvtres.