CDIC 2023

พบมัลแวร์เพื่อทำ Cryptocurrency Mining แพร่ระบาดในไทยผ่าน Facebook Messenger

พบมัลแวร์ที่ชื่อ Digmine ที่มีจุดประสงค์เพื่อทำ Cryptocurrency mining เงินดิจิตัลสกุล Monero ซึ่งมัลแวร์ตัวนี้ได้แพร่ระบาดผ่านทาง Facebook Messenger อีกทั้งติดตั้ง Chrome Extension เพื่อแพร่ไปยังเหยื่อรายใหม่ โดยมีรายงานถูกพบจากผู้ใช้ประเทศเกาหลีใต้เป็นครั้งแรก รวมถึงประเทศอื่นๆ ตามมาเช่น เวียดนาม อาเซอร์ไบจาน ยูเครน ฟิลิปินส์ เวเนซูเอล่า รวมถึงไทยด้วย

การแพร่ระบาดของ Digmine 

พฤติกรรมที่เกิดขึ้นคือเหยื่อจะได้รับไฟล์วีดีโอชื่อ video_xxxx.zip (xxxx แทนด้วยตัวเลข 4 หลัก) ซึ่งภายในได้ซ่อน EXE ไฟล์เอาไว้ หากผู้ใช้ไม่ได้ระมัดระวังก็จะรันไฟล์ทำให้ตัวเองติดมัลแวร์ Digmine โดยมัลแวร์ตัวนี้ถูกพัฒนาขึ้นด้วยภาษา AutoIT (ภาษาสคริปต์ตัวหนึ่ง) ซึ่งมีฟีเจอร์ที่เอาไว้คอยรับคำสั่งจากเซิร์ฟเวอร์ภายนอก (C&C) ได้ด้วย ผู้เชี่ยวชาญจาก Trend Micro ยังกล่าวว่าเซิร์ฟเวอร์ C&C ภายนอกได้ส่งตัวขุดเหมือง Monero และ Chrome Extension กลับไปหาเหยื่อ

นอกจากนี้มัลแวร์ตัวนี้ยังเข้าไปเพิ่มกลไกเริ่มต้นตัวเองอัตโนมัติใน Registry ด้วย หลังจากนั้นมันจะติดตั้งตัวขุดเหมือง Monero และ Chrome Extension โดยปกติแล้วการดาวน์โหลด Chrome ต้องทำผ่าน Web Store เท่านั้นแต่ในกรณีนี้ผู้โจมตีได้ใช้วิธีการอันชาญชลาดเพื่อติดตั้ง Extension คือใช้พารามิเตอร์ใน Command Line ของแอปพลิเคชัน Chrome

มีการติดตั้ง Chrome Extension เพื่อกระจายตัวเอง

หน้าที่ของ Extension จริงๆ แล้วใช้เพื่อเข้าถึงโปรไฟล์ Facebook Messenger ของเหยื่อและส่งข้อความ video_xxxx.zip ไปหาผู้ใช้คนอื่นที่อยู่ในรายชื่อติดต่อของเหยื่อคนนั้น อย่างไรก็ดีวิธีการแพร่กระจายตัวเองนี้จะเกิดขึ้นได้เมื่อเหยื่อมีการลงชื่อเข้าใช้โดยอัตโนมัติใน Chrome เท่านั้น หากผู้ใช้ไม่มี Credential ของ Facebook บันทึกไว้ใน Chrome การกระจายตัวนี้ก็ทำไม่ได้ โดยนักวิจัยได้ชี้ว่าการใช้งาน EXE ไฟล์หมายถึงมันจะถูกใช้บนระบบปฏิบัติการที่เป็น Windows เท่านั้นจึงไม่กระทบกับผู้ใช้งานใน Linux และ Mac

Facebook ได้ออกมาขัดขวางและระงับเหตุการณ์แล้ว

ทาง Facebook ได้ขัดขวางการทำงานครั้งนี้แล้วด้วยการลบลิ้งอันตรายออกจากบทสนทนาของผู้ใช้ แต่ความเป็นจริงแล้ว Digmine ก็สามารถเปลี่ยนลิ้งที่ใช้กระจายตัวเองใหม่และกลับมาเริ่มต้นแพร่ระบาดอีกครั้งได้ โฆษกของ Facebook กล่าวว่า “เราได้ใช้ระบบอัตโนมัติเพื่อหยุดยั้งลิ้งและไฟล์ที่เป็นอันตรายที่ปรากฏในหน้า Facebook และ Messenger” พร้อมทั้งเสริมว่า “หากเราพบว่าเครื่องของคุณติดมัลแวร์เราจะจัดหา Anti-virus ฟรีจากพันธมิตรที่น่าเชื่อถือของเราให้คุณ นอกจากนี้เรายังได้แชร์เคล็ดลับในการใช้งานอย่างมั่นคงปลอดภัยใน facebook.com/help แล้ว

ที่มา : https://www.bleepingcomputer.com/news/security/digmine-malware-spreading-via-facebook-messenger/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Supermicro เปิดตัว Server ใหม่รองรับ AMD EPYC 8004 Series

Supermicro เปิดตัว Server ใหม่รองรับหน่วยประมวลผล AMD EPYC 8004 Series รุ่นล่าสุดจาก AMD ตอบโจทย์งาน Edge Computing

CloudCampus 10 Gbps คุณภาพสูงของหัวเว่ยเร่งการเปลี่ยนผ่านสู่โลกอัจฉริยะในอุตสาหกรรมต่าง ๆ [Guest Post]

ในระหว่างงานหัวเว่ย คอนเนกต์ (Huawei Connect) ประจำปี 2566 หัวเว่ยได้เปิดตัวโซลูชัน CloudCampus 10 Gbps คุณภาพสูงเวอร์ชันอัปเกรดใหม่ที่มาพร้อมกับ 4 ฟีเจอร์สุดพิเศษ ได้แก่ การเข้าถึงความเร็วสูง, สถาปัตยกรรมแบบเรียบง่าย, สุดยอดประสบการณ์ และการดำเนินงานและการบำรุงรักษาแบบเรียบง่าย (O&M) โดยโซลูชันดังกล่าวพร้อมรองรับอนาคต มีความเหมาะสมอย่างยิ่งสำหรับองค์กรทั่วโลกในการสร้างเครือข่ายแคมปัสคุณภาพสูง “ความเร็ว 10 Gbps สำหรับสำนักงาน, 10 Gbps สำหรับการผลิต และ 10 Gbps สำหรับสาขา” เพื่อเร่งความเร็วในการเดินทางเปลี่ยนผ่านจากยุคดิจิทัลไปสู่ยุคระบบอัจฉริยะ