แคมเปญการหลอกลวงขายไม้ปลอมกำลังเพิ่มจำนวนขึ้น

โซเชียลมีเดียกลายเป็นช่องทางหลักสำหรับผู้ไม่หวังดี เนื่องจากความง่ายในการปลอมเป็นบริษัทต่าง ๆ ที่มีอยู่จริง, โพสต์โฆษณาสินค้า และบริการที่ไม่มีอยู่จริง และแฝงตัวเข้าไปในตลาดออนไลน์

เป็นเวลาหลายทศวรรษที่การหลอกลวงที่ดำเนินการโดยกลุ่ม Les brouteurs ซึ่งเป็นกลุ่มบุคคลอิสระที่ส่วนใหญ่มาจากโกตดิวัวร์ และประเทศใกล้เคียงอย่างแคเมอรูน และเบนิน ได้ปรากฏขึ้นบน Fackbook การหลอกลวงนี้มุ่งเป้าไปที่ผู้อยู่อาศัยในเมือง และหมู่บ้านทั่วฝรั่งเศส โดยใช้การโฆษณาที่ดูไม่มีอันตรายเกี่ยวกับฟืน เมื่ออากาศเริ่มเย็นลง เพจเหล่านี้จะโปรโมทข้อเสนอที่ดูน่าสนใจ ซึ่งทำให้ผู้คนในภูมิภาคนั้น ๆ สูญเสียเงินหลายพันยูโรทุกปี เนื่องจากพวกเขาพยายามเตรียมเชื้อเพลิงสำหรับฤดูหนาวที่กำลังจะมาถึง

ในรายงานฉบับนี้ นักวิเคราะห์จาก Group-IB ได้แทรกซึมเข้าไปในกลุ่มหลอกลวง เพื่อแสดงให้เห็นว่าผู้ไม่หวังดีสามารถปลอมแปลงเอกสาร และแอบอ้างเป็นธุรกิจที่ถูกกฏหมายได้อย่างง่ายดาย เพื่อโน้มน้าวเหยื่อที่ไม่ได้ระวังตัว

การทำงานของแคมเปญการหลอกลวงเหล่านี้

Les brouteurs เป็นชื่อที่ตั้งให้กับผู้ไม่หวังดีกลุ่มนี้ ซึ่งหมายถึง "the grazers" และหมายถึงสัตว์กินหญ้าที่ได้อาหารโดยไม่ต้องใช้ความพยายามมาก เนื่องจากการหลอกลวงดังกล่าวมีลักษณะที่ง่ายดาย

ปัจจุบันการหลอกลวงเหล่านี้มีเพิ่มขึ้นมากมาย และสามารถพบได้บ่อย ๆ แต่ผู้ใช้งานโซเชียลมีเดียยังคงตกเป็นเหยื่อ เนื่องจากวิธีการโน้มน้าวของผู้ไม่หวังดี และความสามารถในการปลอมแปลงเอกสารที่ดูเหมือนจริงได้อย่างรวดเร็วด้วยการใช้ AI ยังคงพัฒนาอย่างต่อเนื่อง

Group-IB ได้แทรกซึมเข้าไปในกลุ่มหลอกลวงเพื่อเปิดเผยวิธีการของผู้ไม่หวังดี และทดสอบว่าบุคคลจะถูกชักชวนให้ซื้อไม้ที่ไม่มีอยู่จริงได้ง่ายเพียงใด เมื่อโพสต์โฆษณาผลิตภัณฑ์บน Facebook ผู้ไม่หวังดีจะติดตามความสนใจของผู้ใช้งานโซเชียลมีเดีย โดยผู้คนจะโต้ตอบกับโพสต์โฆษณา สอบถามเกี่ยวกับการมีสินค้าในพื้นที่ของตน ซึ่งจะแสดงให้เห็นถึงสถานที่ตั้งของเหยื่อ จากนั้นผู้ไม่หวังดีจะปลอมเป็นพนักงานขายที่พร้อมช่วยเหลือ เริ่มต้นสนทนา และในที่สุดจะขอให้ติดต่อทางข้อความส่วนตัว เมื่อตั้งค่าการสนทนาส่วนตัวแล้ว ผู้ไม่หวังดีจะอ้างถึงคุณภาพของผลิตภัณฑ์, จัดเตรียมข้อมูลผลิตภัณฑ์, รูปภาพ และราคา

นักวิเคราะห์จาก Computer Emergency Response Team (CERT) ของ Group-IB ได้เริ่มติดต่อกับบุคคลหนึ่งในกลุ่มนี้ และในเวลาไม่ถึงหนึ่งชั่วโมง พวกเขาก็ได้รับภาพสินค้า, ราคา, สำเนาใบรับรองปลอม, หลักฐานความถูกต้องตามกฏหมายของธุรกิจ และใบแจ้งหนี้ รวมถึงข้อมูล IBAN สำหรับการชำระเงินตามคำสั่งซื้อ

เมื่อมีข้อเสนอออนไลน์ ผู้ไม่หวังดีจะรอให้ผู้คนแสดงความคิดเห็น และแสดงความสนใจ ในภาพด้านบน จะเห็นผู้คนสอบถามเกี่ยวกับสินค้าคงคลังที่มีอยู่, แสดงความสนใจ และแม้กระทั่งสอบถามว่าสามารถจัดส่งฟืนให้ถึงเมืองที่ตนอาศัยอยู่ได้หรือไม่

ผู้ไม่หวังดีจะตอบกลับการสนทนากับเหยื่อที่มีแนวโน้มภายในโพสต์ Facebook หรือขอให้ติดต่อผ่านข้อความส่วนตัว สำหรับวัตถุประสงค์ของการวิเคราะห์นี้ นักวิเคราะห์ CERT ได้ติดต่อกับผู้ไม่หวังดีคนหนึ่ง เพื่อเปิดเผยว่าการหลอกลวงนี้ดำเนินการได้อย่างไร ต่อไปนี้จะเป็นการสนทนากับผู้ไม่หวังดีผ่าน Facebook

หลังจากการสนทนานี้ ผู้ไม่หวังดีจะส่งสำเนาเอกสารที่ดูเหมือนเป็นใบรับรองเพื่อสร้างความมั่นใจให้กับเหยื่อเกี่ยวกับคุณภาพของไม้

ผู้ไม่หวังดีจะขอให้เหยื่อระบุชื่อ, ที่อยู่อีเมล, หมายเลขโทรศัพท์ และที่อยู่อาศัย

เมื่อเหยื่อให้ข้อมูลส่วนตัว ผู้ไม่หวังดีจะสร้างใบแจ้งหนี้สำหรับคำสั่งซื้อของพวกเขา ที่น่าสนใจคือราคาที่ระบุไม่ได้ตรงกับจำนวนเงินทั้งหมดที่ควรจะเป็นตามที่เหยื่อสั่งซื้อไว้ซึ่งมีการชี้แจงไว้ในรูปภาพด้านบน

ตามที่ได้ระบุไว้ในบทสนทนาก่อนหน้านี้ ผู้ไม่หวังดีจะส่งสำเนาใบรับรอง Patro ปลอมให้กับนักวิเคราะห์ CERT ของ Group-IB ในที่สุด

สุดท้าย หากเหยื่อยอมรับใบแจ้งหนี้ ผู้ไม่หวังดีจะให้หมายเลขบัญชีธนาคารระหว่างประเทศ (IBAN) แก่เหยื่อเพื่อให้โอนเงินไปยังบัญชีนั้น

เมื่อเหยื่อชำระเงินเข้าบัญชีธนาคารแล้ว จะไม่สามารถติดต่อกับผู้ไม่หวังดีได้อีกต่อไป และเงินของเหยื่อจะสูญหายไปตลอดกาล การเรียกคืนเงินที่สูญเสียไปให้กับผู้ไม่หวังดีนั้นทำได้ยากมาก เพราะเหยื่อเป็นผู้เริ่มการชำระเงิน หรือการโอนเงินเอง

การเปิดเผยต้นทางของการหลอกลวง

เมื่อมองย้อนกลับไปดู จะพบความคิดเห็นจากผู้ใช้งานอื่น ๆ บน Facebook ที่ชี้ให้เห็นว่านี่เป็นการหลอกลวงจริง ๆ

ตามหมายเลข SIRET (Système d’identification du répertoire des établissements) ซึ่งใช้ในการระบุสถานประกอบการ หรือธุรกิจในฝรั่งเศส จะสามารถเห็นได้ว่าหมายเลขดังกล่าวจดทะเบียนกับบริษัทอีกแห่งชื่อ Sivalbp ซึ่งเป็นผู้ผลิตผนังไม้สำหรับใช้ภายใน และภายนอกของฝรั่งเศส ผู้ไม่หวังดีเพียงแค่ใช้หมายเลข SIRET ของธุรกิจที่ถูกต้องตามกฏหมายแล้วอ้างว่าเป็นบริษัทของตน

คำแนะนำ

ควรตรวจสอบหมายเลขการจดทะเบียนธุรกิจของสถานประกอบการกับบริการทะเบียนธุรกิจที่เชื่อถือได้ เพื่อยืนยันความถูกต้องของข้อมูล
โดยทั่วไปแล้ว ไม่ควรให้ความไว้ใจกับคนแปลกหน้าบนโซเชียลเน็ตเวิร์กที่พร้อมจะขายสินค้าให้ และขอให้ชำระเงินโดยตรง
ตรวจสอบในส่วนแสดงความคิดเห็นของโพสต์เพื่อดูว่าผู้ใช้งานอื่น ๆ มีความคิดเห็นว่าเหตุการณ์นี้เป็นการหลอกลวงหรือไม่

ที่มา : group-ib.

แฮ็กเกอร์ชาวรัสเซียเริ่มโจมตีเป้าหมายในยูเครนด้วยช่องโหว่ Follina

ทีมรับมือภัยคุกคามทางคอมพิวเตอร์ของยูเครน (CERT) แจ้งเตือนกลุ่มแฮ็กเกอร์ชาวรัสเซียชื่อ Sandworm ซึ่งกำลังใช้ช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลใน Microsoft Windows Support Diagnostic Tool (MSDT) ที่ถูกเรียกว่า Follina ซึ่งมีหมายเลข CVE-2022-30190

โดยช่องโหว่ดังกล่าวเกิดขึ้นจากการเปิด หรือ preview เอกสารที่ถูกสร้างขึ้นมาเป็นพิเศษ โดยผู้โจมตีเริ่มใช้ในการโจมตีมาตั้งแต่เดือนเมษายน 2022

หน่วยงานของยูเครนมั่นใจว่ากลุ่มแฮ็กเกอร์ที่อยู่เบื้องหลังการโจมตีดังกล่าวคือกลุ่ม Sandworm

เป้าหมายคือองค์กรประเภทสื่อ

CERT-UA กล่าวว่าแฮ็กเกอร์ชาวรัสเซียใช้การส่งอีเมลที่เป็นอันตรายโดยใช้ช่องโหว่ Follina และกำหนดเป้าหมายผู้รับมากกว่า 500 รายในองค์กรสื่อต่างๆในยูเครนรวมถึงสถานีวิทยุ และหนังสือพิมพ์

อีเมลมีหัวข้อ "LIST of links to interactive maps" และมีไฟล์แนบ .DOCX ที่มีชื่อเดียวกัน ซึ่งเมื่อเปิดไฟล์ โค้ด JavaScript จะดำเนินการเพื่อดึงข้อมูลเพย์โหลดที่ชื่อ "2.txt" ซึ่ง CERT-UA จัดอยู่ในประเภท "malicious CrescentImp"

CERT-UA ได้เผยแพร่ข้อมูล IOC ที่เกี่ยวข้องกับเหตุการณ์ดังกล่าว เพื่อช่วยให้หน่วยงานต่างๆระมัดระวังมัลแวร์ CrescentImp อย่างไรก็ตามยังไม่ชัดเจนว่า CrescentImp เป็นมัลแวร์ที่พัฒนามาจากมัลแวร์ตัวใดหรือไม่ หรือมันถูกสร้างขึ้นมาเพื่อการโจมตีครั้งนี้โดยเฉพาะ เนื่องจาก Hashes ของมัลแวร์ที่ CERT-UA ตรวจพบ ไม่เคยถูกพบมาก่อนบน Virus Total

พฤติกรรมของ Sandworm ในยูเครน

Sandworm ได้มุ่งเป้าหมายการโจมตีไปยังยูเครนอย่างต่อเนื่องในช่วงไม่กี่ปีที่ผ่านมา และความถี่ของการโจมตีก็เพิ่มขึ้นหลังจากการรุกรานของรัสเซียในยูเครน

ในเดือนเมษายน พบว่า Sandworm พยายามที่จะโจมตีผู้ให้บริการด้านพลังงานรายใหญ่ของยูเครน โดยกำหนดเป้าหมายไปยังสถานีไฟฟ้าย่อยด้วยมัลแวร์ Industroyer รุ่นใหม่

ในเดือนกุมภาพันธ์ นักวิจัยด้านความปลอดภัยค้นพบว่า Sandworm เป็นกลุ่มที่รับผิดชอบในการสร้าง และใช้งาน Cyclops Blink botnet ซึ่งเป็นมัลแวร์ที่มีความสามารถในการแฝงตัวอยู่บนระบบได้ดีมาก

เมื่อปลายเดือนเมษายน สหรัฐฯได้ตั้งรางวัลนำจับ 10,000,000 ดอลลาร์ให้กับผู้ที่สามารถช่วยระบุตัวสมาชิกของกลุ่ม Sandworm ทั้ง 6 คนได้

IOCs

Files:

cc27122efef26fa2b4cc5d30845704e7 129073fd0f9234737ff8ca1aadd8cbaef664015d1088d68e8e501fa757c991d0 - СПИСОК_посилань_на_інтерактивні_карти.docx
106d1413f8768be03cb7dc982a1455f9 22d413e4b4fb45f058c312942fb170c2225ab7f30a653d3aeba79c054837b297 - update.

CERT/CC Reports Microsoft Exchange 2013 and Newer are Vulnerable to NTLM Relay Attacks

CERT/CC ได้เผยข้อมูลรายละเอียดช่องโหว่การโจมตี NTLM Relay ที่มีผลต่อ Microsoft Exchange 2013 และ Microsoft Exchange เวอร์ชันที่ใหม่กว่า ซึ่งทำให้อาชญากรไซเบอร์สามารถโจมตีจากระยะไกล (remote attacker) เพื่อใช้ช่องโหว่นี้เข้ามาควบคุมระบบของเครื่องเป้าหมายได้
แนะนำให้ผู้ใช้และผู้ดูแลระบบเข้าไปตรวจสอบรายละเอียดของช่องโหว่ VU#465632 เพิ่มเติมได้ที่ https://www.