การแพร่กระจายของ XPhase Clipper ตัวใหม่ผ่านเว็บไซต์ Cryptocurrency ปลอม และวิดีโอบน YouTube

Cyble วิเคราะห์ Clipper ตัวใหม่ชื่อ 'XPhase' ซึ่งมีเป้าหมายไปที่ผู้ใช้ Cryptocurrency และจะแพร่กระจายผ่านเว็บไซต์ปลอม และวิดีโอบน Youtube

(more…)

พบผู้ไม่หวังดีใช้วิดีโอบน Youtube ที่สร้างโดย AI เพื่อแพร่กระจายมัลแวร์ประเภทต่าง ๆ เช่น Raccoon, RedLine และ Vidar เพิ่มมากขึ้นเรื่อย ๆ

Pavan Karthick M นักวิจัยของ CloudSEK ระบุว่า "โดยวิดีโอจะใช้วิธีการหลอกว่าเป็นการสอนวิธีดาวน์โหลดซอฟต์แวร์เวอร์ชันแคร็ก เช่น Photoshop, Premiere Pro, Autodesk 3ds Max, AutoCAD รวมไปถึงผลิตภัณฑ์อื่น ๆ ที่เป็นผลิตภัณฑ์ที่มีลิขสิทธิ์ ซึ่งโดยปกติแล้วจะมีให้สำหรับผู้ใช้งานที่ชำระเงินเท่านั้น"

เช่นเดียวกันกับผู้โจมตีกลุ่มอื่น ๆ ที่ภายในกลุ่มจะมีการแบ่งหน้าที่กันออกไป เช่น ฝ่ายผู้พัฒนาหลัก และฝ่ายอื่น ๆ ที่มีหน้าที่ในการค้นหา หรือระบุเป้าหมายที่เป็นไปได้สำหรับการโจมตี รวมถึงการพยายามแพร่กระจายมัลแวร์โดยใช้วิธีการต่าง ๆ

ซึ่งหนึ่งในช่องทางในการเผยแพร่มัลแวร์ที่กำลังเป็นที่นิยมคือ YouTube โดย CloudSEK พบเห็นจำนวนวิดีโอเพิ่มขึ้นกว่า 200-300% ต่อเดือน โดยวิดีโอเหล่านั้นจะมีการแนบลิงก์ในคำอธิบายคลิป ซึ่งลิงก์ดังกล่าวจะเชื่อมต่อไปยังเว็บไซต์ที่มีมัลแวร์สำหรับขโมยข้อมูล

โดยลิงก์เหล่านั้นจะมีการใช้เครื่องมือย่อลิงก์เช่น Bitly และ Cuttly เพื่อทำให้ผู้ใช้งานไม่ทันระวัง และจะนำผู้ใช้งานไปยังหน้าเว็บไซต์ที่มีการอัปโหลดมัลแวร์ไว้เช่น MediaFire, Google Drive, Discord, GitHub และ Telegram.

พบมัลแวร์แพร่กระจายผ่าน Facebook Messenger อีกครั้ง แต่ความสามารถเพิ่มขึ้น !!!

มัลแวร์ตัวนี้ถูกเรียกว่า "FacexWorm" คาดว่าน่าจะเป็นตัวเดียวกับมัลแวร์ที่เคยระบาดบน Facebook Messenger เมื่อเดือนสิงหาคมปีที่แล้ว เหยื่อจะพบว่ามี Link ถูกส่งมาทาง Facebook Messenger ซึ่งผู้ส่งอาจจะเป็นเพื่อนที่ติดมัลแวร์ตัวนี้แล้ว เมื่อกด link ดังกล่าว จะทำการเปิดหน้า YouTube ปลอมขึ้นมา หากใช้ Google Chrome จะมีการแจ้งให้ผู้ใช้ติดตั้ง extension ที่มีชื่อว่า "Koblo"(ชื่ออาจจะถูกเปลี่ยนได้ในอนาคต)

ความสามารถของมัลแวร์ตัวนี้คือ สามารถขโมย credentials บน website ที่มีการใช้งาน, สามารถขโมยเงินดิจิตอล(cryptocurrency) เมื่อมีการเข้าไปทำธุรกรรมต่างๆ(Trading) และสุดท้ายคือสามารถใช้เครื่องผู้ใช้งานในการขุดสกุลเงินดิจิตอล นอกจากนี้ยังสามารถใช้บัญชีผู้ใช้ของเหยื่อในการโจมตีผู้อื่นต่อไปได้อีกด้วย

วิธีป้องกันตนเอง
- ไม่กดเข้า link ใดๆก็ตามที่ไม่น่าเชื่อถือ แม้มาจากคนรู้จักก็ตาม
- หากพบว่าถูกส่งมาจากคนรู้จัก ควรแจ้งเจ้าของบัญชีนั้นๆ
- ไม่ติดตั้ง extension ใดๆก็ตามที่ไม่รู้จัก

ที่มา : Komando

ปัจจุบันจำนวนมัลแวร์ที่แฝงตัวอยู่กับโฆษณาซึ่งมีปรากฏให้เห็นอยู่บ่อยๆได้มีจำนวนที่เพิ่มขึ้นอยู่ทุกวัน โดยที่ YouTube ก็เป็นหนึ่งในเว็บไซต์ที่ได้รับผลกระทบนี้เช่นกัน ผู้เชียวชาญทางด้านความปลอดภัยจาก Bromium พบว่าอาชญากรทางไซเบอร์ ได้มีการกระจายมัลแวร์ผ่านทาง YouTube ads โดยนักวิจัยกล่าวว่า มัลแวร์ที่แฝงตัวอยู่จะอาศัยช่องโหว่ใน JAVA เวอร์ชั่นเก่าๆ โดยเมื่อพบเครื่องเป้าหมาย มัลแวร์จะทำการดาวน์โหลดไฟล์ .jar ที่มีอันตรายลงไปในเครื่องเป้าหมาย ซึ่งไฟล์ที่ดาวน์โหลดมานั้นจะมีหลากหลายไฟล์ โดยไฟล์ที่ดาวน์โหลดมานั้นจะขึ้นอยู่กับเวอร์ชั่นของ Java ที่อยู่บนเครื่องเป้าหมาย โปรแกรม Exploit kit  ที่ใช้ในการโจมตีครั้งนี้คือ "Styx Exploit Kit" ซึ่งเป็นโปรแกรมที่เคยถูกแฮกเกอร์นำไปใช้กับเว็บไซต์ Hasbro.