Black Hat Asia 2023

พบมัลแวร์เพื่อทำ Cryptocurrency Mining แพร่ระบาดในไทยผ่าน Facebook Messenger

พบมัลแวร์ที่ชื่อ Digmine ที่มีจุดประสงค์เพื่อทำ Cryptocurrency mining เงินดิจิตัลสกุล Monero ซึ่งมัลแวร์ตัวนี้ได้แพร่ระบาดผ่านทาง Facebook Messenger อีกทั้งติดตั้ง Chrome Extension เพื่อแพร่ไปยังเหยื่อรายใหม่ โดยมีรายงานถูกพบจากผู้ใช้ประเทศเกาหลีใต้เป็นครั้งแรก รวมถึงประเทศอื่นๆ ตามมาเช่น เวียดนาม อาเซอร์ไบจาน ยูเครน ฟิลิปินส์ เวเนซูเอล่า รวมถึงไทยด้วย

การแพร่ระบาดของ Digmine 

พฤติกรรมที่เกิดขึ้นคือเหยื่อจะได้รับไฟล์วีดีโอชื่อ video_xxxx.zip (xxxx แทนด้วยตัวเลข 4 หลัก) ซึ่งภายในได้ซ่อน EXE ไฟล์เอาไว้ หากผู้ใช้ไม่ได้ระมัดระวังก็จะรันไฟล์ทำให้ตัวเองติดมัลแวร์ Digmine โดยมัลแวร์ตัวนี้ถูกพัฒนาขึ้นด้วยภาษา AutoIT (ภาษาสคริปต์ตัวหนึ่ง) ซึ่งมีฟีเจอร์ที่เอาไว้คอยรับคำสั่งจากเซิร์ฟเวอร์ภายนอก (C&C) ได้ด้วย ผู้เชี่ยวชาญจาก Trend Micro ยังกล่าวว่าเซิร์ฟเวอร์ C&C ภายนอกได้ส่งตัวขุดเหมือง Monero และ Chrome Extension กลับไปหาเหยื่อ

นอกจากนี้มัลแวร์ตัวนี้ยังเข้าไปเพิ่มกลไกเริ่มต้นตัวเองอัตโนมัติใน Registry ด้วย หลังจากนั้นมันจะติดตั้งตัวขุดเหมือง Monero และ Chrome Extension โดยปกติแล้วการดาวน์โหลด Chrome ต้องทำผ่าน Web Store เท่านั้นแต่ในกรณีนี้ผู้โจมตีได้ใช้วิธีการอันชาญชลาดเพื่อติดตั้ง Extension คือใช้พารามิเตอร์ใน Command Line ของแอปพลิเคชัน Chrome

มีการติดตั้ง Chrome Extension เพื่อกระจายตัวเอง

หน้าที่ของ Extension จริงๆ แล้วใช้เพื่อเข้าถึงโปรไฟล์ Facebook Messenger ของเหยื่อและส่งข้อความ video_xxxx.zip ไปหาผู้ใช้คนอื่นที่อยู่ในรายชื่อติดต่อของเหยื่อคนนั้น อย่างไรก็ดีวิธีการแพร่กระจายตัวเองนี้จะเกิดขึ้นได้เมื่อเหยื่อมีการลงชื่อเข้าใช้โดยอัตโนมัติใน Chrome เท่านั้น หากผู้ใช้ไม่มี Credential ของ Facebook บันทึกไว้ใน Chrome การกระจายตัวนี้ก็ทำไม่ได้ โดยนักวิจัยได้ชี้ว่าการใช้งาน EXE ไฟล์หมายถึงมันจะถูกใช้บนระบบปฏิบัติการที่เป็น Windows เท่านั้นจึงไม่กระทบกับผู้ใช้งานใน Linux และ Mac

Facebook ได้ออกมาขัดขวางและระงับเหตุการณ์แล้ว

ทาง Facebook ได้ขัดขวางการทำงานครั้งนี้แล้วด้วยการลบลิ้งอันตรายออกจากบทสนทนาของผู้ใช้ แต่ความเป็นจริงแล้ว Digmine ก็สามารถเปลี่ยนลิ้งที่ใช้กระจายตัวเองใหม่และกลับมาเริ่มต้นแพร่ระบาดอีกครั้งได้ โฆษกของ Facebook กล่าวว่า “เราได้ใช้ระบบอัตโนมัติเพื่อหยุดยั้งลิ้งและไฟล์ที่เป็นอันตรายที่ปรากฏในหน้า Facebook และ Messenger” พร้อมทั้งเสริมว่า “หากเราพบว่าเครื่องของคุณติดมัลแวร์เราจะจัดหา Anti-virus ฟรีจากพันธมิตรที่น่าเชื่อถือของเราให้คุณ นอกจากนี้เรายังได้แชร์เคล็ดลับในการใช้งานอย่างมั่นคงปลอดภัยใน facebook.com/help แล้ว

ที่มา : https://www.bleepingcomputer.com/news/security/digmine-malware-spreading-via-facebook-messenger/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

AIS Business เดินหน้าปี 2023 พร้อมเป็นพันธมิตรดิจิทัลของทุกองค์กรไทย พลิกโฉมธุรกิจให้ “เติบโต อุ่นใจ ไปด้วยกัน”

ในช่วง 3 ปีที่ผ่านมาอาจถือได้ว่าเป็นช่วงเวลาแห่งความยากลำบากสำหรับทุกองค์กรธุรกิจ มีเรื่องราวมากมายที่เกิดขึ้นทั้งเรื่องของสถานการณ์แพร่ระบาดของไวรัส COVID-19 ความไม่แน่นอนในเรื่องภูมิรัฐศาสตร์ จนกระทบมาถึงเรื่องเงินเฟ้อและเศรษฐกิจถดถอย (Recession) ที่อาจจะเกิดขึ้นทั่วโลกในปีนี้ ทุกองค์กรธุรกิจจึงจำเป็นจะต้องเร่งปรับตัวเพื่อรับมือกับสถานการณ์ที่กำลังเป็นไปในอนาคตอันใกล้ AIS Business ในฐานะ Digital Service …

มองเห็น เข้าใจ และวางแผนค่าใช้จ่าย Multi-cloud ขององค์กรได้ผ่าน VMware Aria Hub

VMware Aria เป็นโซลูชันใหม่ที่ออกมาช่วงครึ่งหลังของปี 2022 โดยมุ่งเน้นไปที่การแก้ปัญหาการทำงานด้าน Multi-cloud ให้แก่องค์กร ซึ่งหลายปีที่ผ่านมา VMware เห็นแนวโน้มจากพฤติกรรมของลูกค้าจำนวนมากที่มีการใช้คลาวด์จากหลายแห่งเนื่องจากแต่ละค่ายมีจุดเด่นแตกต่างกันไป ด้วยเหตุนี้เอง VMware จึงมุ่งหน้าออกผลิตภัณฑ์ที่สนับสนุนลูกค้าอย่างไม่หยุดยั้งซึ่งในปี 2021 มีการพูดถึง …