Emotet campaign used parked domains to deliver malware payloads

Emotet ออกแคมเปญใหม่ใช้ Parked Domain ในการส่งเพย์โหลดมัลแวร์ไปยังเครื่องที่ตกเป็นเหยื่อ

นักวิจัยด้านความปลอดภัยทีม Unit 42 จาก Palo Alto Networks ได้เปิดเผยถึงแคมเปญฟิชชิ่งใหม่จาก Emotet botnet ที่ได้ใช้ Parked domain ที่เป็นอันตรายเป็นฐานในการส่งเพย์โหลดเพื่อการแพร่กระจายของมัลแวร์, การแพร่กระจายของโปรแกรมที่อาจไม่พึงประสงค์ (Potentially Unwanted Program - PUP) และการหลอกลวงแบบฟิชชิง

พฤติกรรมดังกล่าวเกิดจากทีมนักวิจัยจาก Unit 42 ได้ตรวจพบโดเมนที่ถูกใช้ในการโจมตีคือ valleymedicalandsurgicalclinic [.] com ซึ่งได้รับการจดทะเบียนครั้งแรกเมื่อวันที่ 8 กรกฎาคม 2020 และได้ถูกตั้งค่าให้เป็น Parked domain แต่หลังจากวันที่ 14 กันยายนที่ผ่านมาโดเมนดังกล่าวถูกพบอีกครั้งเพื่อใช้ในการแพร่กระจายของมัลแวร์ Emotet ผ่านเอกสารที่แนบมากับอีเมลฟิชชิ่งมีสคริปต์มาโครที่เรียกกลับไปยังเซิร์ฟเวอร์ C&C ของผู้ประสงค์ร้าย ซึ่งเมื่อผู้ใช้ตกเป็นเหยื่อแล้ว มัลแวร์จะนำไปสู่การขโมยข้อมูล Credential และรวมถึงการยึดครองอุปกรณ์ของผู้ที่ตกเป็นเหยื่ออีกด้วย

ทีมนักวิจัยจาก Unit 42 กล่าวอีกว่าจากการตรวจสอบ Parked domain ที่ในปัจจุบันมีจำนวนกว่า 6 ล้าน โดเมนและพบว่ามี 1 % ของ Parked domain ถูกใช้ในแคมเปญมัลแวร์หรือฟิชชิงและถูกกำหนดเป้าหมายไปยังเหยื่อที่อาจเกิดขึ้นจากหลายประเทศทั่วโลกเช่น สหรัฐอเมริกา, สหราชอาณาจักร, ฝรั่งเศส,ญี่ปุ่น, เกาหลีและอิตาลี นอกจากนี้แคมเปญของ Emotet จะมุ่งเน้นไปที่ภาคอุตสาหกรรมต่างๆ ตั้งแต่ภาครัฐการศึกษา, พลังงาน, การผลิต, การก่อสร้างและโทรคมนาคม

ทั้งนี้ผู้ใช้ควรทำการตรวจสอบเอกสารที่แนบมากับอีเมลทุกครั้งก่อนทำการเปิดเพื่อเป็นการป้องกันการตกเป็นเหยื่อของมัลแวร์

ที่มา: bleepingcomputer