หากใครเห็นโฆษณาหางานบน Facebook อาจจะต้องระมัดระวังเพิ่มขึ้นอีกเล็กน้อย เพราะตอนนี้มีเหตุการณ์ผู้ไม่ประสงค์ดีเริ่มใช้ประโยชน์จากการยิงโฆษณาบน Facebook เพื่อหลอกล่อให้เหยื่อติดตั้งมัลแวร์บน Windows โค้ดเนม “Ov3r_Stealer” ที่สามารถขโมย Credentials และ Crypto Wallet ไปได้เลย
“มัลแวร์ตัวนี้ถูกออกแบบมาเพื่อขโมย Credentials และ Crypto Wallets ต่าง ๆ แล้วส่งเข้าไปใน Telegram ที่ Threat Actor นั้นตรวจสอบติดตามอยู่” Trustwave SpiderLabs กล่าวในรายงาน
โดยแหล่งข่าวชี้ให้เห็นว่า Ov3r_Stealer นั้นสามารถดึงข้อมูลได้ทั้งตำแหน่งที่อิงจาก IP Address, ข้อมูลฮาร์ดแวร์, พาสเวิร์ด, Cookies, ข้อมูลบัตรเครดิต, ข้อมูล Auto-fill ต่าง ๆ, Extentions ที่ใช้บนเบราว์เซอร์, Crypto Wallets รวมไปถึงเอกสาร Microsoft Office และลิสต์รายการของผลิตภัณฑ์ Antivirus ที่ติดตั้งบนเครื่องด้วย
จุดเริ่มต้นของการโจมตีนั้นจะมากับไฟล์ PDF ที่ดูเหมือนว่าจะเป็นไฟล์ที่อยู่ OneDrive ซึ่งพยายามหลอกล่อให้ผู้ใช้กดคลิก “Access Document” เพื่อเข้าไปดูเอกสาร ซึ่งไฟล์ดังกล่าว Trustwave บอกว่าจะดูเหมือนเป็นการแชร์มาจากบัญชี Facebook ของ Amazon CEO คุณ Andy Jassy (ปลอม) ที่ยิงโฆษณาดิจิทัลมา
หากกดเข้าไปแล้วจะได้ไฟล์ Internet Shortcut (.URL) ที่จะเป็นทางลัดเพื่อเข้าไปที่หน้าเอกสาร DocuSign ปลอมที่วางอยู่บน CDN ของ Discord ซึ่ง Shortcut นี้จะเป็นเหมือนท่อที่พาไปเจอกับไฟล์ Control Panel (.CPL) ที่จะถูกรันด้วย Windows Control Panel (control.exe) เพื่อนำไปสู่การดึงไฟล์ PowerShell loader แล้วเปิด Ov3r_Stealer ต่อไป
แม้ว่าเป้าหมายสุดท้ายของมัลแวร์นี้อาจจะยังไม่ได้ชัดเจนว่าต้องการอะไรกันแน่ แต่ยังไงข้อมูลที่ถูกขโมยไปนั้นก็คงจะสามารถนำไปใช้ต่อยอดการโจมตีได้อย่างหลากหลายแน่นอน ดังนั้น พึงระวังก่อนที่จะคลิกเข้าไปดูโฆษณาสักเล็กน้อย ชว่าน่าจะเป็นโฆษณาของจริงหรือไม่ หรือว่าอาจจะเป็นภัยคุกคามที่มาถึงหน้าจอเครื่องของเราแล้วนั่นเอง
ที่มา: https://thehackernews.com/2024/02/beware-fake-facebook-job-ads-spreading.html
———————————————————————————————————————————————————————————
ที่มา : TechTalkThai / วันที่เผยแพร่ 7 ก.พ.67
Link : https://www.techtalkthai.com/warning-fake-job-advertisements-on-facebook-spread-malware/