แฮกเกอร์ใช้แคมเปญโฆษณาแฝงบัญชีโซเชียลมีเดีย เพื่อทำการแพร่กระจายมัลแวร์
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแคมเปญโฆษณาที่เป็นอันตราย ซึ่งใช้วิธีละเมิดนโยบายของแพลตฟอร์มโฆษณาออนไลน์และทำการแฮกบัญชีโซเชียลมีเดียเพื่อนำมัลแวร์ที่เรียกว่า SYS01 Stealer มาเผยแพร่สู่ผู้ใช้ทั่วไป
รูปแบบการโจมตี
การโจมตีเกิดขึ้นโดยแฮกเกอร์ใช้บัญชีที่ถูกแฮกไปเพื่อสร้างโฆษณาหลอกลวง ซึ่งแอบอ้างว่าเป็นโฆษณาของแบรนด์ที่เชื่อถือได้ และดึงดูดให้ผู้ใช้คลิกลิงก์ที่นำไปสู่เว็บไซต์อันตราย เมื่อผู้ใช้คลิกลิงก์ พวกเขาจะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์หลอกลวงที่กระจายมัลแวร์ โดย SYS01 Stealer จะพยายามขโมยข้อมูลที่สำคัญ เช่น ข้อมูลการเข้าสู่ระบบ ประวัติการท่องเว็บ และข้อมูลอื่นๆ ที่เก็บไว้ในคุกกี้ รวมถึงข้อมูลบัญชีโฆษณาทางธุรกิจ
จากการวิเคราะห์ของ Bitdefender Labs แคมเปญนี้ใช้โดเมนอันตรายหลายร้อยโดเมนในการแพร่กระจายมัลแวร์และควบคุมกระบวนการโจมตี ซึ่งช่วยให้ผู้โจมตีสามารถสั่งการและติดตามการโจมตีได้แบบเรียลไทม์ โดยบัญชีที่ถูกแฮกจะถูกนำมาใช้ในการเผยแพร่โฆษณามัลแวร์เพิ่มเติม ทำให้มัลแวร์นี้แพร่กระจายได้อย่างรวดเร็วและไม่จำเป็นต้องสร้างบัญชีใหม่
มัลแวร์ SYS01 Stealer คืออะไร
SYS01 Stealer ถูกบันทึกไว้ครั้งแรกโดย Morphisec เมื่อต้นปี 2023 ซึ่งได้อธิบายว่าแคมเปญนี้มุ่งเป้าไปที่บัญชีโซเชียลมีเดียโดยใช้โฆษณาของ Google และโปรไฟล์ปลอมเพื่อโปรโมทเกม เนื้อหาสำหรับผู้ใหญ่ และซอฟต์แวร์ละเมิดลิขสิทธิ์
SYS01 Stealer ถูกออกแบบมาเพื่อขโมยข้อมูลส่วนบุคคลจากผู้ใช้คอมพิวเตอร์ โดยเฉพาะข้อมูลที่เกี่ยวข้องกับการเข้าสู่ระบบและการใช้งานออนไลน์ โดยช่องทางหลักที่แพร่กระจายคือผ่านมัลแวร์โฆษณาบนแพลตฟอร์มต่างๆ เช่น โซเชียลมีเดีย, YouTube, LinkedIn โดยโฆษณาเหล่านี้โปรโมทธีม Windows เกม ซอฟต์แวร์ AI โปรแกรมแก้ไขรูปภาพ VPN และบริการสตรีมมิ่งภาพยนตร์ มัลแวร์นี้มีลักษณะคล้ายกับ "Stealer" อื่น ๆ ที่มุ่งหวังในการรวบรวมข้อมูลที่สำคัญ เช่น:
- ข้อมูลการเข้าสู่ระบบ: ชื่อผู้ใช้ รหัสผ่าน สำหรับบัญชีต่าง ๆ ที่ผู้ใช้มี
- ประวัติการท่องเว็บ: ข้อมูลเกี่ยวกับเว็บไซต์ที่ผู้ใช้เยี่ยมชม รวมถึงการค้นหาและข้อมูลที่กรอกในแบบฟอร์มออนไลน์
- ข้อมูลในคุกกี้: ข้อมูลที่ช่วยให้เว็บไซต์สามารถจดจำผู้ใช้เมื่อกลับมาใช้งานอีกครั้ง
ความสามารถการหลบเลี่ยงการโจมตี
SYS01 Stealer มีความสามารถที่น่ากลัวในการเรียกใช้คำสั่ง PowerShell เพื่อป้องกันไม่ให้มัลแวร์ทำงานในสภาพแวดล้อมแบบ Sandbox ซึ่งเป็นการตั้งค่าที่มักใช้ในการวิเคราะห์ความปลอดภัย นอกจากนี้ ยังสามารถปรับเปลี่ยนการตั้งค่าโปรแกรมป้องกันไวรัสของ Microsoft Defender เพื่อยกเว้นเส้นทางบางอย่าง ทำให้หลีกเลี่ยงการตรวจจับได้
Bitdefender กล่าวเสริมว่า “ความสามารถในการปรับตัวของผู้ก่ออาชญากรรมทางไซเบอร์ที่อยู่เบื้องหลังการโจมตีเหล่านี้ทำให้แคมเปญขโมยข้อมูลของ SYS01 Stealer เป็นอันตรายอย่างยิ่ง มัลแวร์ใช้การตรวจจับ Sandbox โดยหยุดการทำงานหากตรวจพบว่ามันทำงานในสภาพแวดล้อมที่มีการควบคุม ซึ่งนักวิเคราะห์มักใช้เพื่อตรวจสอบมัลแวร์ ทำให้มันไม่ถูกตรวจพบในหลายกรณี”
เมื่อบริษัทด้านความปลอดภัยเริ่มบล็อกโปรแกรมและดาวน์โหลดแพตช์เวอร์ชันล่าสุด แฮกเกอร์จะตอบสนองอย่างรวดเร็วด้วยการอัปเดตโค้ดของมัลแวร์และเผยแพร่โฆษณาใหม่ที่มีมัลแวร์เวอร์ชันอัปเดต เพื่อหลีกเลี่ยงมาตรการการรักษาความปลอดภัยที่เพิ่งถูกนำมาใช้ ซึ่งแสดงให้เห็นถึงความมุ่งมั่นของผู้โจมตีในการหลบเลี่ยงการตรวจจับและสร้างความเสียหายให้กับข้อมูลของผู้ใช้ต่อไป
กลยุทธหลอกลวงเหยื่อในรูปแบบอื่น
ภัยคุกคามทางไซเบอร์บนโซเชียลมีเดียในช่วงหลังมีการเพิ่มขึ้นอย่างมาก ซึ่งมิจฉาชีพใช้วิธีหลอกลวงผู้ใช้งานด้วยข้อเสนอการลงทุนสกุลเงินดิจิทัลและการทำงานจากที่บ้าน โดยอ้างว่าเป็นองค์กรที่น่าเชื่อถือ การหลอกลวงเหล่านี้สร้างความเสียหายต่อเหยื่อเป็นอย่างมาก โดยเฉพาะเมื่อมิจฉาชีพสามารถแอบอ้างเป็นตัวแทนของแบรนด์ที่ถูกกฎหมาย
มิจฉาชีพมักเริ่มต้นการหลอกลวงโดยใช้โซเชียลมีเดีย ข้อความ SMS หรือแอปส่งข้อความ เพื่อเข้าถึงผู้ใช้ หลังจากนั้นพวกเขาจะเสนองานออนไลน์โดยอ้างว่าสามารถทำงานจากที่บ้านได้และสร้างรายได้ให้กับผู้รับงาน ผู้ที่สนใจจะได้รับคำสั่งให้ลงทะเบียนบนเว็บไซต์ที่อันตรายโดยมีการใช้รหัสอ้างอิงของผู้หลอกลวงเป็นตัวเชื่อมโยง หลังจากลงทะเบียนเสร็จ มิจฉาชีพจะให้เหยื่อทำภารกิจต่างๆ เช่น ให้รีวิว สั่งซื้อผลิตภัณฑ์ จองตั๋วเครื่องบิน หรือจองโรงแรม
กลไกการหลอกลวงจะเกิดขึ้นเมื่อยอดเงินในบัญชีคอมมิชชั่นปลอมของเหยื่อกลายเป็นติดลบกะทันหัน เหยื่อจะถูกกระตุ้นให้โอนเงินหรือลงทุนในสกุลเงินดิจิทัลของตนเองเพื่อทำให้ยอดเงินกลับมาเป็นบวกและรับโบนัสจากภารกิจ ซึ่งนักวิจัยของ Proofpoint กล่าวว่า "วงจรนี้จะดำเนินต่อไปตราบเท่าที่ผู้หลอกลวงคิดว่าเหยื่อจะยังคงจ่ายเงินเข้าระบบ แต่เมื่อใดที่พวกเขาสงสัยว่าเหยื่อเริ่มรู้ตัว ผู้หลอกลวงจะทำการบล็อกบัญชีและหายตัวไป"
นอกจากการหลอกลวงการลงทุน มิจฉาชีพยังใช้วิธีหลอกลวงแบบใหม่ที่เรียกว่า “การฉ้อโกงโดยใช้เสน่หา” หรือที่รู้จักในชื่อ "Pig Butchering" มิจฉาชีพจะใช้แอปหาคู่หรือโซเชียลมีเดียในการเข้าหาเหยื่อ สร้างความเชื่อใจและความรัก แล้วค่อยๆ ล่อลวงให้เหยื่อทำการลงทุนในสกุลเงินดิจิทัลหรือร่วมลงทุนในโปรเจกต์ปลอมที่สร้างขึ้น เมื่อเหยื่อหลงเชื่อและโอนเงินให้ มิจฉาชีพจะหายตัวไปพร้อมกับเงินของเหยื่อทันที
Proofpoint อธิบายว่า "การฉ้อโกงแบบเสน่หาได้รับผลตอบแทนน้อยกว่าแต่บ่อยกว่าเมื่อเทียบกับการหลอกลวงการลงทุนผ่านงานออนไลน์ โดยมิจฉาชีพใช้เวลานานในการสร้างความไว้วางใจในตัวเหยื่อ และเมื่อถึงเวลาที่เหมาะสมก็จะทำการหลอกลวงและหนีไปพร้อมกับเงินของเหยื่อ"
ความเห็นจาก BAYCOMS
วิธีการรับมือมีดังนี้:
1) ระวังการคลิกโฆษณาแปลกปลอม – หลีกเลี่ยงการคลิกโฆษณาที่ไม่น่าเชื่อถือ โดยเฉพาะในแพลตฟอร์มสื่อสังคมออนไลน์
2) ใช้ซอฟต์แวร์ป้องกันไวรัส – ติดตั้งโปรแกรมป้องกันไวรัสที่เชื่อถือได้และอัปเดตสม่ำเสมอ เพื่อป้องกันมัลแวร์ที่อาจเล็ดลอดเข้ามา
3) เปิดการยืนยันตัวตนสองขั้นตอน (2FA) – ในบัญชีโซเชียลมีเดีย และบริการอื่นๆ เพื่อป้องกันการเข้าถึงบัญชีจากบุคคลที่ไม่หวังดี
4) หลีกเลี่ยงการดาวน์โหลดไฟล์หรือโปรแกรมที่ไม่รู้จัก – โดยเฉพาะไฟล์ที่มาจากลิงก์ในโฆษณาหรือข้อความที่ไม่คุ้นเคย
5) ตรวจสอบและจัดการสิทธิ์การเข้าถึงแอปพลิเคชัน – เข้าตรวจสอบว่าแอปพลิเคชันใดมีสิทธิ์เข้าถึงบัญชีของคุณ หากพบแอปที่ไม่น่าไว้วางใจให้ทำการยกเลิกการเข้าถึงทันที
นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS
Your Trusted Cybersecurity Partner
ติดต่อสอบถามหรือปรึกษาเราได้ที่ :
Bay Computing Public Co., Ltd
Tel: 02-115-9956
Email: info@baycoms.com
Website: www.baycoms.com
#BAYCOMS #YourTrustedCybersecurityPartner #Cybersecurity
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2024 Blockdit
