แคมเปญการแพร่กระจายมัลแวร์ตัวใหม่ กำลังใช้วิธีการเลียนแบบเว็บไซต์เครื่องมือตัดต่อวิดีโออย่าง CapCut เพื่อหลอกติดตั้งมัลแวร์บนเครื่องเหยื่อ

CapCut เป็นโปรแกรมตัดต่อวิดีโออย่างเป็นทางการของ ByteDance สำหรับ TikTok ซึ่งมีการดาวน์โหลดไปใช้งานแล้วมากกว่า 500 ล้านครั้งบน Google Play และเว็บไซต์ของบริษัทมีผู้เข้าชมมากกว่า 30 ล้านครั้งต่อเดือน

ความนิยมของแอปพลิเคชัน รวมถึงการถูกแบนในประเทศไต้หวัน อินเดีย และอีกบางประเทศ ทำให้ผู้ใช้งานพยายามหาวิธีในการดาวน์โหลดโปรแกรม จึงทำให้เป็นช่องทางให้ผู้โจมตีใช้ประโยชน์จากเหตุการณ์นี้ โดยการสร้างเว็บไซต์ที่ใช้แพร่กระจายมัลแวร์ที่ปลอมเป็นตัวติดตั้งของโปรแกรม CapCut

เว็บไซต์ที่เป็นอันตรายถูกพบโดย Cyble ซึ่งรายงานว่าพบสองแคมเปญที่ใช้แพร่กระจายมัลแวร์ ยังไม่มีรายละเอียดเกี่ยวกับวิธีการ แต่โดยทั่วไปแล้วผู้โจมตีมักจะใช้วิธีการโฆษณาบนหน้าการค้นหาของ Google และโซเชียลมีเดียเพื่อโปรโมต โดยเว็บไซต์ที่เป็นอันตรายมีดังนี้:

capcut-freedownload[.]com
capcutfreedownload[.]com
capcut-editor-video[.]com
capcutdownload[.]com
capcutpc-download[.]com

แคมเปญแรก

นักวิเคราะห์ของ Cyble ตรวจพบเว็บไซต์ CapCut ปลอมที่มีปุ่มดาวน์โหลด ซึ่งจะเป็นการดาวน์โหลด Offx Stealer ไปติดตั้งบนคอมพิวเตอร์ของผู้ใช้งาน โดยจะทำงานได้บน Windows 8, 10 และ 11 เท่านั้น

เมื่อเหยื่อเรียกใช้ไฟล์ที่ดาวน์โหลดมา จะได้รับข้อความแสดงข้อผิดพลาดปลอมที่อ้างว่าการเปิดใช้แอปพลิเคชันไม่สำเร็จ

มัลแวร์จะพยายามดึงรหัสผ่าน และคุกกี้จากเว็บเบราว์เซอร์ และประเภทไฟล์บางอย่าง เช่น .txt, .lua, .pdf, .png, .jpg, .jpeg, .py, .cpp และ .db จากโฟลเดอร์เดสก์ท็อปของผู้ใช้งาน

นอกจากนี้ยังกำหนดเป้าหมายไปยังข้อมูลที่จัดเก็บไว้ในแอปพลิเคชันรับส่งข้อความเช่น Discord และ Telegram แอปกระเป๋าเงินดิจิตอล (Exodus, Atomic, Ethereum, Coinomi, Bytecoin, Guarda และ Zcash) และซอฟต์แวร์ remote access เช่น UltraViewer และ AnyDesk

ข้อมูลที่ถูกขโมยทั้งหมดจะถูกบันทึกไว้ในไดเร็กทอรีที่สร้างขึ้นแบบสุ่มในโฟลเดอร์ %AppData% Zip แล้วส่งไปยังผู้โจมตีผ่านช่องทาง Telegram ส่วนตัว โดยผู้โจมตียังใช้บริการโฮสต์ไฟล์ AnonFiles เพื่อความสมบูรณ์ในขั้นตอนการขโมยข้อมูล

หลังจากไฟล์ที่ถูกขโมยถูกส่งไปยังผู้โจมตี ไดเร็กทอรีในเครื่องที่สร้างขึ้นสำหรับโฮสต์ข้อมูลชั่วคราวจะถูกลบออกเพื่อลบร่องรอยของการติดมัลแวร์

แคมเปญที่สอง

แคมเปญที่สองที่เกี่ยวข้องกับเว็บไซต์ CapCut ปลอมจะปล่อยไฟล์ชื่อ 'CapCut_Pro_Edit_Video.

CERT/CC ออกประกาศได้ความปลอดภัย VU#817544 เมื่ออาทิตย์ที่ผ่านมาหลังจากมีการค้นพบข้อผิดพลาดใน Windows 8 หรือใหม่กว่าซึ่งเป็นผลการทำงานของฟังก์ชันด้านความปลอดภัยหนึ่งไม่สมบูรณ์ และอาจส่งผลต่อความปลอดภัยของระบบในภาพรวมได้

ฟังก์ชันหรือฟีเจอร์ด้านความปลอดภัยนี้มีชื่อว่า ASLR ซึ่งเริ่มใช้งานตั้งแต่ Windows Vista เป็นต้นมา ฟังก์ชันนี้ช่วยป้องกันการโจมตีแบบ code-reuse หรือที่รู้จักกันในชื่อ Return-oriented programming (ROP) ได้โดยการทำให้โมดูลหรือไลบรารีที่ถูกโหลดขึ้นมานั้นอยู่ในตำแหน่งแบบสุ่มแทนที่จะอยู่ในตำแหน่งที่คาดเดาได้จากผู้โจมตี

ตั้งแต่ Windows 8 เป็นต้นมา โปรแกรม EMET (หรือ Windows Defender Exploit Guard) เข้ามามีส่วนสำคัญในการอิมพลีเมนต์ ASLR ให้กับแอปพลิเคชันอื่นๆ อย่างไรก็ตามมีการค้นพบการอิมพลีเมนต์ ASLR โดยโปรแกรม EMET หรือ Windows Defender Exploit Guard ไม่สมบูรณ์และอาจทำให้โปรแกรมไม่ได้ถูกปกป้องโดย ASLR อย่างที่ผู้ใช้งานคาดหวังได้

Recommendation สำหรับวิธีการแก้ปัญหาในเบื้องต้น (workaround) นั้น ผู้ใช้งานสามารถดำเนินแก้ไขข้อผิดพลาดนี้ได้โดยการแก้ไขค่ารีจิสทรีตามข้อมูลจากแหล่งที่มา อย่างไรก็ตามเราแนะนำให้ผู้ใช้งานและผู้ดูแลระบบคอยตรวจสอบวิธีการในการแก้ไขปัญหาอย่างเป็นทางการจากทางไมโครซอฟต์อีกครั้ง

ที่มา : KB.Cert