กลุ่มผู้ใช้งานที่ใช้ภาษาจีนเป็นหลักในเอเชียตะวันออกเฉียงใต้ และเอเชียตะวันออกกำลังตกเป็นเป้าหมายของแคมเปญ Google Ads เพื่อหลอกลวงให้ดาวน์โหลด trojans ที่ใช้ในการเข้าถึงจากระยะไกล เช่น FatalRAT ไปยังเครื่องเหยื่อ

ผู้โจมตีจะใช้การซื้อโฆษณา เพื่อให้แสดงในผลของการค้นหาบน Google เมื่อผู้ใช้พยายามดาวน์โหลด Application ที่เป็นที่นิยม จะถูกนำไปยังหน้าเว็บไซต์สำหรับดาวน์โหลดโปรแกรมซึ่งถูกฝัง Trojan เอาไว้ โดย ESET ระบุในรายงานว่าปัจจุบันโฆษณาดังกล่าวได้ถูกลบออกไปแล้ว

Google Chrome ก็เป็นหนึ่งใน Application ที่มีหน้าเว็บไซต์สำหรับดาวน์โหลดปลอมขึ้นมา รวมไปถึง Mozilla Firefox, Telegram, WhatsApp, LINE, Signal, Skype, Electrum, Sogou Pinyin Method, Youdao และ WPS Office

โดย ESET ระบุในรายงานที่พบในช่วงระหว่างเดือนสิงหาคม 2565 ถึงมกราคม 2566 ว่า "เว็บไซต์ และโปรแกรมที่ดาวน์โหลดจากเว็บไซต์ส่วนใหญ่เป็นภาษาจีน และในบางกรณีก็มีซอฟต์แวร์เวอร์ชั่นภาษาจีนที่ไม่สามารถใช้งานได้ในจีนด้วยเช่นกัน"

โดยเหยื่อส่วนใหญ่จะอาศัยอยู่ที่ ไต้หวัน จีน ฮ่องกง มาเลเซีย ญี่ปุ่น ฟิลิปปินส์ ไทย สิงคโปร์ อินโดนีเซีย และเมียนมาร์

สิ่งที่สำคัญที่สุดในการโจมตีคือการสร้างเว็บไซต์ที่มีโดเมนลักษณะคล้ายกัน หรือที่เรียกว่า typosquatted domain เพื่อเผยแพร่ซอฟต์แวร์ที่เป็นอันตราย ซึ่งบางกรณีถึงแม้จะมีไฟล์ติดตั้งของซอฟต์แวร์ที่ถูกต้อง แต่ก็ยังมีการแอบติดตั้ง FatalRAT ด้วยเช่นเดียวกัน

โดยผู้โจมตีจะสามารถควบคุมเครื่องของเหยื่อได้อย่างสมบูรณ์ รวมถึงสั่งรันคำสั่งที่เป็นอันตราย, เก็บข้อมูลจาก web browsers และตรวจจับการพิมพ์บน Keyboard

นักวิจัยระบุว่า "Hacker ใช้ความพยายามในการตั้งชื่อโดเมนให้มีความคล้ายกับชื่อที่เป็นทางการมากที่สุดเท่าที่จะทำได้ และ website ปลอมส่วนมากจะมีหน้าตาเหมือนกันกับ website ที่ถูกต้อง"

การค้นพบนี้เกิดขึ้นภายในเวลาไม่ถึงหนึ่งปีหลังจากที่ Trend Micro เปิดเผยแคมเปญ Purple Fox ที่ใช้ประโยชน์จากซอฟต์แวร์ที่เลียนแบบ Adobe, Google Chrome, Telegram และ WhatsApp เพื่อเผยแพร่ FatalRAT

ที่มา : thehackernews