TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
พบมัลแวร์ที่ชื่อ Digmine ที่มีจุดประสงค์เพื่อทำ Cryptocurrency mining เงินดิจิตัลสกุล Monero ซึ่งมัลแวร์ตัวนี้ได้แพร่ระบาดผ่านทาง Facebook Messenger อีกทั้งติดตั้ง Chrome Extension เพื่อแพร่ไปยังเหยื่อรายใหม่ โดยมีรายงานถูกพบจากผู้ใช้ประเทศเกาหลีใต้เป็นครั้งแรก รวมถึงประเทศอื่นๆ ตามมาเช่น เวียดนาม อาเซอร์ไบจาน ยูเครน ฟิลิปินส์ เวเนซูเอล่า รวมถึงไทยด้วย
การแพร่ระบาดของ Digmine
พฤติกรรมที่เกิดขึ้นคือเหยื่อจะได้รับไฟล์วีดีโอชื่อ video_xxxx.zip (xxxx แทนด้วยตัวเลข 4 หลัก) ซึ่งภายในได้ซ่อน EXE ไฟล์เอาไว้ หากผู้ใช้ไม่ได้ระมัดระวังก็จะรันไฟล์ทำให้ตัวเองติดมัลแวร์ Digmine โดยมัลแวร์ตัวนี้ถูกพัฒนาขึ้นด้วยภาษา AutoIT (ภาษาสคริปต์ตัวหนึ่ง) ซึ่งมีฟีเจอร์ที่เอาไว้คอยรับคำสั่งจากเซิร์ฟเวอร์ภายนอก (C&C) ได้ด้วย ผู้เชี่ยวชาญจาก Trend Micro ยังกล่าวว่าเซิร์ฟเวอร์ C&C ภายนอกได้ส่งตัวขุดเหมือง Monero และ Chrome Extension กลับไปหาเหยื่อ
นอกจากนี้มัลแวร์ตัวนี้ยังเข้าไปเพิ่มกลไกเริ่มต้นตัวเองอัตโนมัติใน Registry ด้วย หลังจากนั้นมันจะติดตั้งตัวขุดเหมือง Monero และ Chrome Extension โดยปกติแล้วการดาวน์โหลด Chrome ต้องทำผ่าน Web Store เท่านั้นแต่ในกรณีนี้ผู้โจมตีได้ใช้วิธีการอันชาญชลาดเพื่อติดตั้ง Extension คือใช้พารามิเตอร์ใน Command Line ของแอปพลิเคชัน Chrome
มีการติดตั้ง Chrome Extension เพื่อกระจายตัวเอง
หน้าที่ของ Extension จริงๆ แล้วใช้เพื่อเข้าถึงโปรไฟล์ Facebook Messenger ของเหยื่อและส่งข้อความ video_xxxx.zip ไปหาผู้ใช้คนอื่นที่อยู่ในรายชื่อติดต่อของเหยื่อคนนั้น อย่างไรก็ดีวิธีการแพร่กระจายตัวเองนี้จะเกิดขึ้นได้เมื่อเหยื่อมีการลงชื่อเข้าใช้โดยอัตโนมัติใน Chrome เท่านั้น หากผู้ใช้ไม่มี Credential ของ Facebook บันทึกไว้ใน Chrome การกระจายตัวนี้ก็ทำไม่ได้ โดยนักวิจัยได้ชี้ว่าการใช้งาน EXE ไฟล์หมายถึงมันจะถูกใช้บนระบบปฏิบัติการที่เป็น Windows เท่านั้นจึงไม่กระทบกับผู้ใช้งานใน Linux และ Mac
Facebook ได้ออกมาขัดขวางและระงับเหตุการณ์แล้ว
ทาง Facebook ได้ขัดขวางการทำงานครั้งนี้แล้วด้วยการลบลิ้งอันตรายออกจากบทสนทนาของผู้ใช้ แต่ความเป็นจริงแล้ว Digmine ก็สามารถเปลี่ยนลิ้งที่ใช้กระจายตัวเองใหม่และกลับมาเริ่มต้นแพร่ระบาดอีกครั้งได้ โฆษกของ Facebook กล่าวว่า “เราได้ใช้ระบบอัตโนมัติเพื่อหยุดยั้งลิ้งและไฟล์ที่เป็นอันตรายที่ปรากฏในหน้า Facebook และ Messenger” พร้อมทั้งเสริมว่า “หากเราพบว่าเครื่องของคุณติดมัลแวร์เราจะจัดหา Anti-virus ฟรีจากพันธมิตรที่น่าเชื่อถือของเราให้คุณ นอกจากนี้เรายังได้แชร์เคล็ดลับในการใช้งานอย่างมั่นคงปลอดภัยใน facebook.com/help แล้ว”
ที่มา : https://www.bleepingcomputer.com/news/security/digmine-malware-spreading-via-facebook-messenger/
