ในการแพร่กระจายมัลแวร์ตั้งแต่อดีตจนถึงปัจจุบันนั้น ผู้ที่ตกเป็นเหยื่อส่วนใหญ่มักจะมาจากการถูกหลอกลวงด้วยวิธีการ Phishing ผ่านทางเครื่องมือของแฮ็กเกอร์ต่าง ๆ ที่หลอกให้เชื่อเพื่อติดตั้งมัลแวร์ อย่างเช่นกรณีนี้
จากรายงานโดยเว็บไซต์ Hackread ได้มีการตรวจพบการใช้กลยุทธ์ที่เรียกว่า “ClickFix” ซึ่งเป็นการทำการหลอกลวงด้วยแจ้งเตือน “Error” ปลอมบนบริการทางออนไลน์ชื่อดัง เช่น Facebook, Google Chrome และ Google Meet เป็นต้น โดยเครื่องมือชิ้นหลังได้ตกเป็นข่าวในครั้งนี้ด้วย
ทีมวิจัยจาก Sekoia ซึ่งเป็นบริษัทผู้เชี่ยวชาญด้านการรักษาความปลอดภัยไซเบอร์ ได้รายงานถึงการที่แฮ็กเกอร์ใช้หน้าเพจปลอมที่ปลอมตัวเป็นบริการเพื่อการพบปะ และประชุมออนไลน์ดัง Google Meets มาใช้หลอกลวงให้เหยื่อติดตั้งมัลแวร์ด้วยการใช้ป๊อบอัปแจ้งเตือนปลอม โดยจะล่อลวงให้เหยื่อกดปุ่ม “Fix It” ที่อ้างว่าเป็นการซ่อมข้อผิดพลาดที่เกิดขึ้น แต่แท้จริงแล้วกลับเป็นการอนุมัติให้ทำการรันสคริปท์เพื่อติดตั้งมัลแวร์ลงสู่เครื่อง ซึ่งรูปแบบการแจ้งเตือนจะต่างออกไปตามแต่ระบบปฏิบัติการ หรือ OS ของผู้ใช้งาน
โดยผู้ใช้งาน Windows นั้นได้ถูกแจ้งเตือนว่า ไมโครโฟน หรือหูฟังไม่สามารถใช้งานได้ แต่หลังจากที่ผู้ใช้งานกดเพื่อซ่อมข้อผิดพลาด กลับเป็นการดาวน์โหลดมัลแวร์เพื่อการขโมยข้อมูล (Infostealer) อย่าง Stealc และ Rhadamanthys ลงสู่เครื่องแทน ขณะที่ทางฝั่งผู้ใช้งาน macOS นั้น แหล่งข่าวไม่ได้ระบุว่าเป็นการแจ้งเตือนรูปแบบใด แต่ถ้าผู้ใช้งานเผลอทำตามที่แฮ็กเกอร์หลอกไว้ ก็จะเป็นการดาวน์โหลดและติดตั้งมัลแวร์ AMOS Stealer ซึ่งเป็นมัลแวร์เพื่อการขโมยข้อมูลเช่นเดียวกันลงสู่เครื่อง
นอกจากมัลแวร์ที่ระบุดังกล่าวแล้ว ทางทีมวิจัยยังกล่าวอีกว่า มีมัลแวร์อีกหลากชนิดที่ทางแฮ็กเกอร์ใช้วิธีการนี้เพื่อปล่อยสู่เครื่องของเหยื่อ เช่น มัลแวร์ประเภท Botnet และ RAT (Remote Access Trojan) ซึ่งล้วนแต่สร้างอันตรายต่อสวัสดิภาพของเหยื่อทั้งสิ้น
สำหรับแคมเปญในการโจมตีในครั้งนี้นั้น ทางทีมวิจัยได้มีการสันนิษฐานว่า เป็นการกระทำโดยกลุ่มแฮ็กเกอร์ 2 กลุ่มใหญ่ คือ “Slavic Nation Empire” ที่มีความเกี่ยวข้องกับแก๊งจารกรรมเงินคริปโตเคอร์เรนซี่ “Marko Polo” และกลุ่ม “Scamquerteo Team” ซึ่งเป็นกลุ่มย่อยของกลุ่มนักจารกรรมเหรียญคริปโตที่มีชื่อว่า “CryptoLove” โดยมุ่งเน้นไปยังกลุ่มผู้ใช้งาน และนักพัฒนาเงินคริปโตเคอร์เรนซี, เทคโนโลยีการเงินแบบกระจายตัว (DEFI หรือ Decentralized Finance) และ Web3 เป็นหลัก นอกจากนั้นทางทีมวิจัยยังคาดการณ์ว่า 2 ทีมข้างต้นนั้นเพียงแค่ทำหน้าที่เผยแพร่เพจปลอมเพื่อการโจมตีเท่านั้น ยังมีอาชญากรรมทีมอื่นที่ยังตรวจไม่พบ ทำหน้าที่ดูแลโครงสร้างพื้นฐานสำหรับมัลแวร์ต่าง ๆ ที่ปล่อยด้วยวิธีการนี้อีกด้วย
ที่มา : hackread.com
———————————————————————————————————————————————————————————
ที่มา : Thaiware / วันที่เผยแพร่ 25 ต.ค.67
Link : https://news.thaiware.com/21419.html
