พบมัลแวร์เพื่อทำ Cryptocurrency Mining แพร่ระบาดในไทยผ่าน Facebook Messenger

พบมัลแวร์ที่ชื่อ Digmine ที่มีจุดประสงค์เพื่อทำ Cryptocurrency mining เงินดิจิตัลสกุล Monero ซึ่งมัลแวร์ตัวนี้ได้แพร่ระบาดผ่านทาง Facebook Messenger อีกทั้งติดตั้ง Chrome Extension เพื่อแพร่ไปยังเหยื่อรายใหม่ โดยมีรายงานถูกพบจากผู้ใช้ประเทศเกาหลีใต้เป็นครั้งแรก รวมถึงประเทศอื่นๆ ตามมาเช่น เวียดนาม อาเซอร์ไบจาน ยูเครน ฟิลิปินส์ เวเนซูเอล่า รวมถึงไทยด้วย

การแพร่ระบาดของ Digmine 

พฤติกรรมที่เกิดขึ้นคือเหยื่อจะได้รับไฟล์วีดีโอชื่อ video_xxxx.zip (xxxx แทนด้วยตัวเลข 4 หลัก) ซึ่งภายในได้ซ่อน EXE ไฟล์เอาไว้ หากผู้ใช้ไม่ได้ระมัดระวังก็จะรันไฟล์ทำให้ตัวเองติดมัลแวร์ Digmine โดยมัลแวร์ตัวนี้ถูกพัฒนาขึ้นด้วยภาษา AutoIT (ภาษาสคริปต์ตัวหนึ่ง) ซึ่งมีฟีเจอร์ที่เอาไว้คอยรับคำสั่งจากเซิร์ฟเวอร์ภายนอก (C&C) ได้ด้วย ผู้เชี่ยวชาญจาก Trend Micro ยังกล่าวว่าเซิร์ฟเวอร์ C&C ภายนอกได้ส่งตัวขุดเหมือง Monero และ Chrome Extension กลับไปหาเหยื่อ

นอกจากนี้มัลแวร์ตัวนี้ยังเข้าไปเพิ่มกลไกเริ่มต้นตัวเองอัตโนมัติใน Registry ด้วย หลังจากนั้นมันจะติดตั้งตัวขุดเหมือง Monero และ Chrome Extension โดยปกติแล้วการดาวน์โหลด Chrome ต้องทำผ่าน Web Store เท่านั้นแต่ในกรณีนี้ผู้โจมตีได้ใช้วิธีการอันชาญชลาดเพื่อติดตั้ง Extension คือใช้พารามิเตอร์ใน Command Line ของแอปพลิเคชัน Chrome

มีการติดตั้ง Chrome Extension เพื่อกระจายตัวเอง

หน้าที่ของ Extension จริงๆ แล้วใช้เพื่อเข้าถึงโปรไฟล์ Facebook Messenger ของเหยื่อและส่งข้อความ video_xxxx.zip ไปหาผู้ใช้คนอื่นที่อยู่ในรายชื่อติดต่อของเหยื่อคนนั้น อย่างไรก็ดีวิธีการแพร่กระจายตัวเองนี้จะเกิดขึ้นได้เมื่อเหยื่อมีการลงชื่อเข้าใช้โดยอัตโนมัติใน Chrome เท่านั้น หากผู้ใช้ไม่มี Credential ของ Facebook บันทึกไว้ใน Chrome การกระจายตัวนี้ก็ทำไม่ได้ โดยนักวิจัยได้ชี้ว่าการใช้งาน EXE ไฟล์หมายถึงมันจะถูกใช้บนระบบปฏิบัติการที่เป็น Windows เท่านั้นจึงไม่กระทบกับผู้ใช้งานใน Linux และ Mac

Facebook ได้ออกมาขัดขวางและระงับเหตุการณ์แล้ว

ทาง Facebook ได้ขัดขวางการทำงานครั้งนี้แล้วด้วยการลบลิ้งอันตรายออกจากบทสนทนาของผู้ใช้ แต่ความเป็นจริงแล้ว Digmine ก็สามารถเปลี่ยนลิ้งที่ใช้กระจายตัวเองใหม่และกลับมาเริ่มต้นแพร่ระบาดอีกครั้งได้ โฆษกของ Facebook กล่าวว่า “เราได้ใช้ระบบอัตโนมัติเพื่อหยุดยั้งลิ้งและไฟล์ที่เป็นอันตรายที่ปรากฏในหน้า Facebook และ Messenger” พร้อมทั้งเสริมว่า “หากเราพบว่าเครื่องของคุณติดมัลแวร์เราจะจัดหา Anti-virus ฟรีจากพันธมิตรที่น่าเชื่อถือของเราให้คุณ นอกจากนี้เรายังได้แชร์เคล็ดลับในการใช้งานอย่างมั่นคงปลอดภัยใน facebook.com/help แล้ว

ที่มา : https://www.bleepingcomputer.com/news/security/digmine-malware-spreading-via-facebook-messenger/




About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

นักวิจัยสามารถทำการโจมตีแบบ GPS Spoofing ได้สำเร็จกับระบบนำทาง

นักวิจัยจากมหาวิทยาลัย Virginia Tech, มหาวิทยาลัย Electronic Science และ Technology of China และทีมวิจัยของ Microsoft ได้ร่วมกันค้นพบวิธีการโจมตีแบบ GPS Spoofing …

AWS ออก Lifecycle Management สำหรับ EBS Snapshot

AWS ออก Lifecycle Management สำหรับ EBS ซึ่งจะช่วยในการบริการจัดการ การสร้างและลบ Retention ของ Snapshot ได้อย่างอัตโนมัติ แทนที่แบบเดิมต้องทำเองหรือใช้เครื่องมือพิเศษต่างหาก