กลุ่ม GXC Team กำลังโจมตีผู้ใช้งานธนาคารในสเปนด้วยเครื่องมือฟิชชิ่งที่ใช้ AI และมัลแวร์สำหรับ Android

GXC Team criminal business

GXC Team ปรากฏในการติดตามของ Group-IB ครั้งแรกในเดือนมกราคม 2023 ด้วยการเริ่มเสนอขายบริการอาชญากรรมทางไซเบอร์ผ่านช่องทาง Telegram ส่วนตัว และฟอรั่มใต้ดินชื่อ "Exploit.

โปรแกรม Notepad++ ปลอมถูกโฆษณาผ่าน Google ads โดยไม่ถูกตรวจจับเป็นเวลาหลายเดือน

นักวิจัยพบแคมเปญโฆษณามัลแวร์ใน Google Search ที่มุ่งเป้าไปที่ผู้ใช้งานที่ต้องการดาวน์โหลดโปรแกรมแก้ไขข้อความ Notepad++ ที่เป็นที่นิยม โดยใช้เทคนิคเพื่อหลีกเลี่ยงการตรวจจับ และการวิเคราะห์

โดยพบว่าช่วงที่ผ่านมาผู้โจมตีใช้ Google Ads ในทางที่ผิดมากขึ้นเรื่อย ๆ ในการโฆษณาเพื่อโปรโมทเว็บไซต์ของซอฟต์แวร์ปลอมที่ใช้ในการแพร่กระจายมัลแวร์

จากข้อมูลของ Malwarebytes ซึ่งตรวจพบแคมเปญโฆษณามัลแวร์ Notepad++ พบว่ามีการใช้งานมาแล้วหลายเดือน แต่ก็ยังสามารถเข้าถึงได้อยู่ตลอดเวลา

payload ที่จะถูกส่งไปยังเหยื่อยังไม่แน่ชัด แต่ Malwarebytes ระบุว่ามีแนวโน้มมากที่สุดคือ Cobalt Strike ซึ่งมักจะนำไปสู่การติดตั้ง ransomware ที่สร้างความเสียหายอย่างมาก (more…)

DHL, Microsoft และ LinkedIn ขึ้นแท่นบริษัทที่ถูกปลอมแปลงเพื่อโจมตีในรูปแบบ Phising มากที่สุด

บริษัท DHL, Microsoft และ LinkedIn ได้ถูกจัดอันดับให้เป็นบริษัทที่ถูกนำมาแอบอ้างเพื่อโจมตีในรูปแบบ Phising มากที่สุด โดยคำนวนจากการพยายามโจมตีในรูปแบบ Phishing ทั่วโลก ในไตรมาสที่ 3 (กรกฏาคม - กันยายน) ของปีนี้ ซึ่ง DHL มีค่าเฉลี่ยถูกนำมาใช้กว่า 22% รองลงมาเป็น Microsoft 16% และ LinkedIn 11% ตามลำดับ

ซึ่งในปีที่แล้วการโจมตีแบบ Phishing เป็นอาชญากรรมทางอินเทอร์เน็ตที่มีการรายงานบ่อยที่สุด โดยพบว่ามีการรายงานต่อ FBI กว่า 323,972 รายงาน และทำให้เหยื่อเสียหายกว่า 44.2 ล้านดอลลาร์

ลักษณะการโจมตี

ในการโจมตี Phishing นั้น ผู้ไม่หวังดีส่วนใหญ่จะมีการใช้ชื่อหัวข้ออีเมล เช่น Urgent requests, Change a password และ Delivery or Payment ซึ่งมีประสิทธิภาพอย่างมากในการหลอกให้เหยื่อเชื่อถือ และขโมยข้อมูลของเหยื่อ

ในการโจมตี ผู้ไม่หวังดีจะอ้างว่าเป็น DHL และจะส่งอีเมลจาก “info@lincssourcing[.]com” แต่ตั้งชื่อผู้ส่งให้เป็น DHL Express โดยตั้งชื่ออีเมลว่า “Undelivered DHL (Parcel/Shipment)”

และมีการพยายามเขียนข้อความหลอกล่อให้เยื่อคลิกลิงค์ที่เป็นอันตราย “https[:]//bafybeig4warxkemgy6mdzooxeeuglstk6idtz5dinm7yayeazximd3azai[.]ipfs[.]w3s[.]link/dshby[.]html/” โดยอ้างว่าให้ไปอัปเดตที่อยู่จัดส่งพัสดุ เพื่อรับพัสดุ ซึ่ง URL นั้นเป็นเว็บไซต์ปลอมของทางผู้ไม่หวังดีที่ต้องการให้เหยื่อกรอกข้อมูล ชื่อ และรหัสผ่าน

ซึ่งหากผู้ไม่หวังดีสามารถโจมตีสำเร็จ ก็อาจจะถูกนำข้อมูลประจำตัวที่ถูกขโมยเหล่านี้ไปใช้เพื่อดึงข้อมูลบัญชีอื่น ๆ เช่น รายละเอียดการชำระเงิน หรือนำไปขายบน Darkweb เป็นต้น

แนวทางการป้องกัน

ในการโจมตี Phishing ส่วนใหญ่จะเป็นการโจมตีโดยใช้ Email ดังนั้นองค์การส่วนใหญ่ควรมีการ Awareness Training ให้กับพนักงานภายในองค์กร
พิจารณาการใช้งาน mail gateway เพื่อป้องกันการส่งไฟล์ หรือลิงค์ที่เป็นอันตรายได้ในระดับหนึ่ง
พิจารณาใช้งาน Multi factor authentication เพื่อป้องกันหากมีข้อมูลบัญชีรั่วไหลออกไป

Ref: https://www.