9 ต.ค. 2023 เวลา 02:52 • วิทยาศาสตร์ & เทคโนโลยี

TTC-Cert แจ้ง!!! มัลแวร์ Python Infostealer ถูกนำมาใช้โจมตีผู้ใช้งานในประเทศไทย

Infostealer คือ Malware ประเภทขโมยข้อมูลที่ ส่งมาขโมยข้อมูลได้จากหลากหลายวิธีมาก ๆ และ ถ้ามองว่าข่าวใหญ่ ๆ ของการใช้ Malware กลุ่มนี้ก็คงหนีไม่พ้น 2 เดือนที่ผ่านมาในการขโมยข้อมูล ChatGPT นั้นเอง โดยตัวข่าวนั้นสรุปใจความได้ประมาณว่า
บัญชีผู้ใช้ ChatGPT มากกว่า 101,000 บัญชีถูกขโมยไปจากมัลแวร์ช่วงปีที่ผ่านมา ตามข้อมูลใน dark web โดยรายงาน Group-IB ของบริษัท Cyberintelligence ระบุว่าได้มีการขโมยข้อมูลมากกว่าแสนรายการบนเว็บไซต์ใต้ดินหลายแห่งที่มีบัญชี ChatGPT ซึ่งจุดสูงสุดคือเดือนพฤษภาคม 2566 โดยภูมิภาคที่ตกเป็นเป้าหมายมากที่สุดคือเอเชียแปซิฟิกซึ่งมีบัญชีที่ถูกเข้าถึง 41,000 บัญชีในระหว่างเดือนมิถุนายน 2565 ถึงพฤษภาคม 2566 ส่วนยุโรปมีบัญชีที่ถูกเข้าถึง 17,000 บัญชี และอเมริกา 4,700 บัญชี
แหล่งที่มา : Thaicert infosteler
แต่กับเหตุการณ์ที่ตรวจพบจาก ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม หรือ TTC-Cert นั้นพบว่า มีการโจมตีลักษณะเป็น Python Script และเข้าข่ายเป็นกลุ่ม Malware InfoSteler โดยมากับไฟล์ต้องสงสัยที่ชื่อว่า "ที่อยู่-หมายเลขโทรศัพท์-และรูปภาพของฉัน-1.zip"
จากการวิเคราะห์พบว่า ไฟล์นั้นฝังสคลิป batch file เอาไว้ พบว่าไฟล์ดังกล่าวเป็นส่วนหนึ่งของการโจมตีทางไซเบอร์โดยใช้มัลแวร์ซึ่งเป็นไฟล์สคริปต์ที่พัฒนาด้วยภาษา Python ทํางานในลักษณะของ Infostealer เพื่อขโมยข้อมูลที่บันทึกเอาไว้ในเว็บเบราว์เซอร์ของเหยื่อ ได้แก่ รายชื่อเว็บไซต์ กับบัญชีผู้ใช้งานและรหัสผ่านที่เกี่ยวข้อง รวมไปถึงบัญชีผู้ใช้งาน (user account) ของระบบปฏิบัติการ Windows
โดยข้อมูลทั้งหมดจะถูกส่งออก (exfiltrate) ไปยัง Command and Control (C2) ผู้โจมตีจะใช้เครื่องมือชื่อ Ngrok ซึ่งทํางานในลักษณะของ reverse proxy เพื่อซ่อนหมายเลขไอพีที่แท้จริงของ C2 เอาไว้
อย่างไรก็ดี สิ่งที่ผู้โจมตีหรือผู้ไม่ประสงค์ดีทำการโจมตีนั้น ท่านผู้อ่านคงจะเห็นได้ชัดว่าการที่เราสนใจที่จะเปิดไฟล์ที่ไม่ใช่ไฟล์ของเรานั้น ล้วนแล้วแต่มีความเสี่ยง ดังนั้นการลดความเสี่ยงก็ต้องลดความอยากรู้อยากเห็นของตัวเองลง จะลดความเสี่ยงลงไปได้มาก และหากต้องเปิดจริง ๆ ก็ควรจะเปิดในระบบที่มีความปลอดภัยที่พร้อมเช่นมี Antivirus , EDR หรือ Endpoint Security เรียบร้อยแล้ว ทั้งนี้ทั้งนั้น สิ่งนี้ไม่ใช่เรื่องใหม่ แต่วิธีการหรือโค้ดที่ใช้อาจจะเปลี่ยนไป
จะเห็นได้ชัดว่า การขโมยข้อมูลอีกช่องทางหนึ่งคือข้อมูลที่อยู่บนบราว์เซอร์ซึ่งถ้าเราไม่เก็บข้อมูลอะไรไว้บนนั้น เคลียร์ข้อมูลแคซ หรือ ข้อมูลการเข้าออกไม่ว่าจะเป็น เว็บไซต์ โดเมน อีเมล ต่าง ๆ ก็ไม่จำเป็นต้องจดจำไว้บน บราว์เซอร์ เพียงแค่นี้ก็จะปลอดภัยมากขึ้นอีกทางหนึ่งครับ
ด้วยความปรารถนาดี จาก Avery IT Tech “เพราะช่องโหว่อยู่ที่จิตใจเรา มากกว่าจะอยู่บนระบบคอมพิวเตอร์ไปแล้ว”
สามารถติดตามข่าวสารหรือสาระความรู้แวดวง IT ได้ที่ Avery it tech “เพราะเรื่อง IT อยู่รอบ ๆ ตัวคุณ”
สามารถอ่านรายละเอียดเพิ่มเติมได้ที่ : https://drive.google.com/file/d/1nI2ki_BrXziSYBVND0ZeMLuZID-8P5tm/view
โฆษณา