นักวิจัยพบแคมเปญ Malvertising ใหม่ที่ใช้โหว่แบบ Zero-day ใน WebKit เพื่อรีไดเร็คผู้ใช้ไปยังเว็บไซต์ที่ไม่เหมาะสม

นักวิจัยด้านความปลอดภัยจากบริษัท Confiant บริษัทรักษาความปลอดภัยทางไซเบอร์ได้เปิดเผยถึงการค้นพบแคมเปญ Malvertising ของกลุ่ม ScamClub ที่ใช้ช่องโหว่แบบ Zero-day ในเว็บเบราว์เซอร์ที่ใช้ WebKit engine ในการส่งเพย์โหลดเพื่อรีไดเร็คผู้ใช้จากพอร์ทัลที่ถูกต้องไปยังเว็บไซต์ที่ไม่เหมาะสมและจะแสดงโฆษณาที่เป็นอันตรายต่อผู้ใช้

ตามรายงานของ Confiant ได้ระบุว่าการโจมตีแคมเปญดังกล่าวพบครั้งแรกในเดือนมิถุนายนปี 2020 และยังคงดำเนินอยู่ในปัจจุบัน กลุ่มที่อยู่เบื้องหลังการโจมตีคือกลุ่มที่รู้จักกันในชื่อ ScamClub ซึ่งเป็นกลุ่มที่ดำเนินธุรกิจโดยการซื้อช่องโฆษณาจำนวนมากบนหลายแพลตฟอร์ม โดยกลุ่ม ScamClub มักกำหนดเป้าหมายผู้ใช้ iOS ด้วยโฆษณาที่เป็นอันตรายซึ่งมักจะรีไดเร็คผู้ใช้ไปยังเว็บไซต์ที่ที่ไม่เหมาะเพื่อทำการหลอกลวงผู้ใช้ทางออนไลน์และพยายามรวบรวมข้อมูลทางการเงินของผู้ใช้

ช่องโหว่ Zero-day ในโอเพนซอร์ส WebKit ถูกติดตามด้วยรหัส CVE-2021-1801 และถูกค้นพบโดยวิศวกรรักษาความปลอดภัยจาก Confiant และนักวิจัย Eliya Stein ซึ่งพบว่าการโจมตีได้อาศัยช่องโหว่ใน WebKit เพื่อทำการส่งเพย์โหลดยังผู้ใช้และทำการรีไดเร็คผู้ใช้จากพอร์ทัลที่ถูกต้องไปยังเว็บไซต์ที่ไม่เหมาะ

เนื่องจาก WebKit ถูกใช้ใน Safari ของ Apple และ Google Chrome สำหรับ iOS ทาง Stein จึงได้ทำการรายงานช่องโหว่ที่ค้นพบไปยังทีมของ Apple Security และทีมของ Google Chrome WebKit ซึ่ง WebKit ได้รับการแก้ไขช่องโหว่และออกแพตช์ความปลอดภัยแล้วในวันที่ 2 ธันวาคม 2020 ที่ผ่านมา

ทั้งนี้ Confiant ได้ทำการรวบรวม Indicators of compromise (IoCs) ลงใน GitHub ผู้ที่สนใจ IoCs แคมเปญของกลุ่ม ScamClub สามารถติดตามได้ที่: https://github.

Exploit kit targets Android devices, delivers ransomware

Blue Coat ออกมาแจ้งเตือนถึง Ransomware ตัวใหม่ เรียกตัวเองว่า “Cyber.Police” ซึ่งพุ่งเป้าโจมตีอุปกรณ์ Android
ทีมนักวิจัยจาก Blue Coat เรียกมัลแวร์ตัวนี้ว่า “Dogspectus” โดยมีความแตกต่างจาก Ransomware ปกติเล็กน้อย คือ มัลแวร์ดังกล่าวไม่ได้ทำการเข้ารหัสไฟล์ข้อมูลของผู้ใช้ แต่จะทำการบล็อกอุปกรณ์ให้ไม่สามารถใช้งานได้ จากนั้นจะแสดงข้อความสวมรอยเป็นตำรวจไซเบอร์ของ American National Security Agency (เป็นหน่วยงานที่ไม่มีอยู่จริง) ระบุว่า ผู้ใช้ได้กระทำสิ่งผิดกฏหมายจึงต้องล็อกอุปกรณ์ไม่ให้ใช้งาน เพื่อปลดล็อกอุปกรณ์ดังกล่าว เหยื่อจำเป็นต้องซื้อ iTunes Gift Card ราคา $100 จำนวน 2 ใบแล้วส่งโค้ดมาให้ทางแฮกเกอร์ที่แอบอ้างตัวเป็นเจ้าหน้าที่
เป้าหมายหลักของ Ransomware คือ อุปกรณ์ระบบปฏิบัติการ Android เวอร์ชั่น 4.x เนื่องจาก Blue Coat ตรวจพบว่ามีอุปกรณ์ไม่น้อยกว่า 224 เครื่องที่รันเวอร์ชั่น 4.0.3 ถึง 4.4.4 ทำการติดต่อกับเซิร์ฟเวอร์ที่ใช้แพร่กระจาย Ransomware ดังกล่าว แต่ไม่พบอุปกรณ์ที่รัน Android เวอร์ชั่น 5.x หรือ 6.x เลยแม้แต่น้อย
ที่น่าสนใจสำหรับ Ransomware นี้คือ มันแพร่กระจายผ่านทาง Malvertising หรือโฆษณาที่มี Malicious JavaScript ฝังอยู่ โดยสามารถติดตั้ง Payload ได้โดยไม่ต้องอาศัยการปฏิสัมพันธ์ใดๆ กับผู้ใช้
อย่างไรก็ตาม วิธีจัดการกับ Cyber.

MSN Home Page Drops More Malware Via Malvertising

Malwarebytes ผู้ให้บริการโซลูชัน Anti-malware ชื่อดัง ได้ออกมาเผยถึง Malvertising (มัลแวร์ผ่านการโฆษณา) ที่อาศัยแพลทฟอร์มโฆษณาของ AdSpirit ในการแอบส่งมัลแวร์เรียกค่าไถ่ (Ransomware) ชื่อดังอย่าง CryptoWall เข้าไปยังเครื่องของเหยื่อ เมื่อเหยื่อเผลอกดโฆษณาบนหน้าโฮมเพจของ MSN

มัลแวร์ดังกล่าวมีเป้าหมายไปยังผู้ใช้ชาวเยอรมันที่เล่นเว็บ MSN โดยแฝงมัลแวร์มากับโฆษณาโปรโมชั่นของ Lidl ซูเปอร์มาร์เก็ตชื่อดังของเยอรมนี มัลแวร์ที่ซ่อนอยู่ในโฆษณามานี้เป็น Exploit Kit 2 แบบ คือ RIG และ Neutrino Exploit Kits เมื่อเหยื่อเผลกดลิงค์โฆษณา ก็จะนำไปสู่ลิงค์ของ Exploit Kit ที่จะดาวน์โหลดมัลแวร์เข้ามาติดตั้งบนเครื่องของเหยื่อทันที
Malwarebytes ได้แจ้ง AdSpirit ถึง Malvertising แคมเปญนี้เป็นที่เรียบร้อย ซึ่งทาง AdSpirit ก็ได้ทำการปลดโฆษณาดังกล่าวออกไปและเตรียมการตรวจสอบเหตุการณ์ที่เกิดขึ้นทันที คำแนะนำสำหรับผู้ใช้ทั่วไปเพื่อป้องกัน Malvertising รูปแบบนี้คือ ติดตั้งโปรแกรม Anti-malware และ Anti-Exploit พร้อมอัพเดทฐานข้อมูลใหม่ล่าสุดอยู่เสมอ

ที่มา : Malwarebytes UNPACKED