Zoom ถูกปลอมโปรแกรมการติดตั้งเพื่อใช้แพร่กระจายมัลแวร์

Zoom ถูกปลอมโปรแกรมการติดตั้งเพื่อใช้แพร่กระจายมัลแวร์

TrendMicro ได้รายงานว่าพบการเเพร่กระจายของตัวโปรแกรมติดตั้งไคลเอนต์ Zoom ที่แฝงมาพร้อมกับมัลแวร์เช่น Coinminers, Remote Access Trojans ในคอมพิวเตอร์ของเหยื่อ

TrendMicro ยังได้กล่าวว่าพบตัวติดตั้งไคลเอนต์ที่ถูกต้องของ Zoom ที่มาพร้อมกับมัลแวร์ Coinminer ถูกใช้เพื่อล่อลวงผู้ใช้ที่ต้องการติดตั้งซอฟต์แวร์ แต่ไฟล์การติดตั้งที่ผู้ใช้ดาวน์โหลดนี้ไม่ได้มาจากเว็บไซต์ทางการของ Zoom

เมื่อทำการติดตั้งไคลเอนต์เสร็จเรียบร้อย มัลแวร์นี้จะพยายามใช้ GPU และ CPU เพื่อทำการขุดหา Monero Cryptocurrency ซึ่งจะทำให้คอมพิวเตอร์ช้าลงและทำให้คอมพิวเตอร์เกิดความร้อนที่มากเกินไปซึ่งอาจเป็นที่มาทำให้ฮาร์ดแวร์เสียหายได้

ยังมีโปรแกรมติดตั้งไคลเอนต์ Zoom ตัวอื่นจะแฝงมัลแวร์ njRAT Remote Access Trojan หรือที่รู้จักกันชื่อ Bladabindi ซึ่งจะทำให้ผู้โจมตีเข้าถึงคอมพิวเตอร์ของเหยื่อที่ติดไวรัส เเละสามารถขโมยข้อมูล, ถ่ายภาพหน้าจอด้วยกล้องเว็บแคมบนคอมพิวเตอร์หรือรันคำสั่งเพื่อดาวน์โหลดและติดตั้งมัลแวร์อื่น ๆ

เพื่อเป็นแนวทางป้องกันให้ดาวน์โหลดไคลเอนต์ Zoom จากส่วนการดาวน์โหลดในเว็บไซต์อย่างเป็นทางการบนเว็บไซต์ Zoom.

Online Meeting Security Checklist – รวมขั้นตอนการตั้งค่าความปลอดภัยให้กับการประชุมออนไลน์

เนื่องจากการระบาดของโรค Coronavirus หรือ COVID-19 แอปพลิเคชั่นการประชุมทางวิดีโอ Zoom ได้กลายเป็นแอปพลิเคชั่น ที่ได้รับความนิยมในการติดต่อสื่อสารกับเพื่อนและครอบครัว หรือแม้แต่การทำงานร่วมกับเพื่อนร่วมงานในองค์กรต่างๆ ทั่วโลก

ด้วยความนิยมซึ่งเพิ่มมากขึ้น การถูกนำมาใช้เพื่อแสวงหาผลประโยชน์และก่อกวนในรูปแบบต่างจึงเกิดขึ้นและมีจำนวนที่เพิ่มขึ้นตาม ตัวอย่างหนึ่งซึ่งเราได้เคยพูดถึงไปแล้วในข่าวคือการ Zoom-bombing ซึ่งมีจุดประสงค์ในการก่อกวนผู้เข้าร่วมการประชุมในรูปแบบต่างๆ เช่นภาพอนาจาร, ภาพที่น่าเกลียดหรือภาษาและคำพูดที่ไม่สุภาพเพื่อทำลายการประชุม

ในวันนี้ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จาก บริษัท ไอ-ซีเคียว จำกัด จะมาพูดถึงเช็คลิสต์ง่ายๆ ในการช่วยให้การประชุมออนไลน์ผ่านแอปพลิเคชัน Zoom หรือแอปพลิเคชันอื่นๆ มีความปลอดภัยมากยิ่งขึ้น

1. อย่าเปิดเผย Personal Meeting ID หรือ Meeting ID ให้ใครรู้
ผู้ใช้ Zoom ทุกคนจะได้รับ "Personal Meeting ID" (PMI) ที่เชื่อมโยงกับบัญชี ถ้าหากให้ PMI กับบุคคลอื่นๆ หรือ PMI หลุดไปสู่สาธารณะ ผู้ไม่หวังดีจะสามารถทำการตรวจสอบว่ามีการประชุมอยู่หรือไม่ และอาจเข้ามาร่วมประชุมหรือก่อกวนได้หากไม่ได้กำหนดรหัสผ่าน
2. ใส่รหัสผ่านในการประชุมทุกครั้ง
เมื่อทำสร้างการห้องประชุมใหม่ Zoom จะเปิดใช้งานการตั้งค่า "Require meeting password" โดยอัตโนมัติและกำหนดรหัสผ่านแบบสุ่ม 6 หลัก และไม่ควรยกเลิกการตั้งค่านี้เนื่องจากจะทำให้ทุกคนหรือผุ้ก่อกวนสามารถเข้าถึงการประชุมได้โดยไม่ได้รับอนุญาต
3. สร้างห้อง Waiting Room
Zoom สามารถเปิดใช้งานฟีเจอร์ Waiting Room เพื่อป้องกันผู้ใช้เข้าสู่การประชุมโดยไม่ได้รับการยอมรับจากโฮสต์ (ผู้ที่สร้างการประชุม) ก่อนได้รับอนุญาต
4. ไม่ควรอนุญาตให้มีการ Join Before Host
ผู้ที่สร้างการประชุมควรควบคุมและหมั่นตรวจสอบผู้ที่เข้าร่วมการประชุมอยู่เสมอว่าเป็นผู้ที่ได้รับอนุญาตจริงหรือไม่โดยเฉพาะอย่างยิ่งในการประชุมในเรื่องประเด็นที่ออนไหว การตั้งค่า Enable waiting room เป็นค่าเปิดจะส่งผลให้ผู้ที่เข้าถึงคนแรกกลายเป็นโฮสต์และมีสิทธิ์ในการควบคุมเรียกดูข้อมูลของผู้เข้าร่วมการประชุมโดยอัตโนมัติโดยอัตโนมัติ ดังนั้นตัวเลือกของ Enable waiting room จึงไม่เคยถูกเปิดใช้งานโดยไม่จำเป็น
5. ปิดการแชร์หน้าจอของผู้เข้าร่วม

เพื่อป้องกันไม่ให้ผู้ไม่หวังดีก่อกวนและแย่งชิงการประชุม ควรป้องกันไม่ให้ผู้เข้าร่วมประชุมคนอื่นๆ นอกเหนือจากโฮสต์สามารถแชร์หน้าจอได้
6. ล็อคการประชุมเมื่อทุกคนเข้าร่วมเรียบร้อยแล้ว

หากทุกคนเข้าร่วมการประชุมครบแล้วและไม่ได้เชิญใครเข้าร่วมการประชุมเพิ่ม ควรล็อคการประชุมเพื่อไม่ให้มีใครสามารถเข้าร่วมการประชุม หรือเข้ามาก่อกวนได้
7. อย่าโพสต์รูปภาพการประชุม Zoom สู่สาธารณะ
ถ้าหากภาพถ่ายการประชุมผ่าน Zoom ถูกเปิดเผยต่อสาธารณะผู้ไม่หวังดีจะสามารถเห็น Meeting ID การประชุม จากนั้นผู้ไม่หวังดีสามารถทดลองเข้าร่วมการประชุมโดยใช้ Meeting ID การประชุมที่เปิดเผยต่อสาธารณะได้โดยไม่ต้องรับเชิญ

ตัวอย่างเช่น นายกรัฐมนตรีสหราชอาณาจักร บอริส จอห์นสัน ทวีตรูปภาพการประชุมของ "คณะรัฐมนตรี” และในภาพที่พบมีเลข Meeting ID ของการประชุมปรากฏอยู่ สิ่งนี้อาจจะถูกใช้โดยผู้โจมตีเพื่อพยายามเข้าถึงการประชุมโดยไม่ได้รับอนุญาต และสามารถเข้าร่วมได้ผ่าน Meeting ID ที่แสดงได้
8. อย่าโพสต์ลิงค์การประชุมในที่สาธารณะ
เมื่อสร้างห้องประชุมผ่าน Zoom ไม่ควรโพสต์ลิงก์ที่จะไปยังการประชุมสู่สาธารณะ การกระทำเช่นนั้นจะทำให้เครื่องมือค้นหาเช่น Google จัดทำบันทึกและเปิดให้ค้นหาลิงค์ดังกล่าว และทำให้ทุกคนที่สามารถค้นหาลิงก์การประชุมสามารถเข้าถึงการประชุมได้ เนื่องจากการตั้งค่าเริ่มต้นใน Zoom คือการฝังรหัสผ่านในลิงค์คำเชิญ
9. ระวังมัลแวร์ที่แฝงมาในไฟล์ติดตั้ง Zoom
เนื่องจากการระบาดของโรค Coronavirus ที่เพิ่มขึ้นอย่างรวดเร็วได้มีการเเอบแฝงมัลแวร์ โดยกระจายผ่านเว็บไซต์ฟิชชิ่ง, อีเมล์ฟิชชิ่งและการโจมตีอื่น ๆ ที่เกี่ยวข้องกับข่าวการระบาด โดยมัลแวร์ที่ถูกสร้างขึ้นและแฝงไปกับไฟล์การติดตั้งแอพพลิเคชั่น Zoom เพื่อความปลอดภัยโปรดตรวจสอบการดาวน์โหลดไคลเอนต์ แอพพลิเคชั่น Zoom ทุกครั้งที่ทำการดาวน์โหลด และดาวน์โหลดโดยตรงจากเว็บไซต์ https://zoom.

Working from home จงระวัง! แฮกเกอร์แอบปล่อยมัลแวร์ด้วยแอปพลิเคชัน Zoom ปลอม

เนื่องจากการระบาดของโรค Coronavirus หรือ COVID-19 ทำให้สถาบัน, องค์กรหรือแม้แต่หน่วยงานภาครัฐทั่วโลกต้องปิดตัวลง ทุกอย่างขึ้นอยู่กับการดำเนินงานจากระยะไกลทำให้ผู้คนส่วนมากกำลังมองหาแพลตฟอร์มการสื่อสารทางวิดีโอเพื่อที่จะจัดการประชุม รวมไปถึงการให้บรรยายสำหรับนักเรียนในชั้นเรียนและเพื่อทำงานร่วมกับเพื่อนร่วมงานในองค์กรอย่างราบรื่น

Zoom ซึ่งเป็นแพลตฟอร์มการสื่อสารทางวิดีโอจากระยะไกลและมีฐานผู้ใช้ที่เพิ่มขึ้นอย่างรวดเร็ว จึงทำให้ผู้โจมตีพยายามใช้ประโยชน์จากฐานผู้ใช้ที่เพิ่มขึ้นของ Zoom ตั้งแต่การระบาดของ COVID-19 เริ่มต้นขึ้นโดยการจดทะเบียนโดเมนที่เกี่ยวข้องกับ Zoom หลายร้อยโดเมนเพื่อจุดประสงค์ที่เป็นอันตราย

นักวิจัยค้นพบไฟล์ที่เป็นอันตรายโดยใช้ชื่อว่า zoom-us-zoom _ ##########.exe และ microsoft-teams_V # mu # D _ ##########. exe ซึ่งเมื่อทำการเปิดตัวติดตั้ง InstallCore จะพยายามติดตั้งแอปพลิเคชันของผู้โจมตีที่แอบเเฝง Payload ที่ขึ้นอยู่กับเป้าหมายของผู้โจมตี การเเพร่มัลแวร์เกิดขึ้นผ่านทางอีเมลฟิชชิ่งที่มีลิงก์หรือไฟล์ที่เป็นอันตรายโดยมัลแวร์จะเปลี่ยนแปลงไปตามความสามารถและเป้าหมายของผู้โจมตี"

นักวิจัยยังพบผู้ใช้ Zoom ที่ติดมัลแวร์ Neshta ที่เป็นสายพันธุ์มัลแวร์ที่รู้จักกันในการเก็บรวบรวมข้อมูลเกี่ยวกับแอปพลิเคชันที่ติดตั้งอยู่ในปัจจุบัน, แอปพลิเคชันที่ใช้งานและบัญชีอีเมล SMTP ด้วย

แนวทางปฏิบัติพื้นฐานและเเนวทางความปลอดภัย คือควรตรวจสอบชื่อโดเมนที่คุณป้อนลงในแถบเบราว์เซอร์ทุกครั้งและอย่าดาวน์โหลดไฟล์ใด ๆ จากแหล่งที่มาที่ไม่น่าเชื่อถือ

ที่มา: bleepingcomputer.

FBI แจ้งเตือนรูปแบบการก่อกวน Zoombombing พุ่งเป้าการประชุมวีดิโอคอลออนไลน์

FBI มีการประกาศแจ้งเตือน ถึงรูปแบบของการก่อกวนลักษณะใหม่ภายใต้ชื่อ Zoombombing ซึ่งผู้ก่อเหตุนั้นอาศัยการเข้าถึงระบบประชุมวีดิโอคอลออนไลน์อย่าง Zoom, Microsoft Teams, หรือ WebEx และก่อกวนด้วยวิธีการต่างๆ อาทิ ส่งเสียงรบกวนหรือเปิดกล้องเพื่อแสดงร่างกายเปลือย ก่อนจะบันทึกปฏิกิริยาการตอบสนองไปเผยแพร่บนเครือข่ายสังคมออนไลน์

อ้างอิงจากการสอบสวนโดย FBI มีโรงเรียนในเขตแมสซาชูเซตส์อย่างน้อย 2 แห่งที่มีการแจ้งเหตุในลักษณะเดียวกันนี้ โดยผู้ก่อเหตุเข้าถึงห้องเรียนออนไลน์ของทางโรงเรียนซึ่งใช้งานระบบ Zoom ก่อนจะมีการตะโกนก่อกวน, ดูหมิ่นรวมไปถึงเปิดเผยที่อยู่ของอาจารย์ของโรงเรียน

การป้องกันเหตุในลักษณะนี้สามารถทำได้ผ่านการตั้งค่าระบบประชุมออนไลน์ให้เหมาะสม โดยในกรณีของ Zoom นั้น ทาง FBI แนะนำให้ผู้ใช้งานตั้งค่าให้การประชุมเป็น Private เสมอ, ไม่แชร์หรือเผยแพร่ลิงค์สำหรับเข้าถึงในเครือข่ายสังคมออนไลน์, กำหนดค่า Screen sharing ให้เฉพาะกับ Host ของการประชุม รวมไปถึงตั้งค่ารหัสผ่านในการเข้าถึง

ที่มา: bleepingcomputer.