พบมัลแวร์เพื่อทำ Cryptocurrency Mining แพร่ระบาดในไทยผ่าน Facebook Messenger

พบมัลแวร์ที่ชื่อ Digmine ที่มีจุดประสงค์เพื่อทำ Cryptocurrency mining เงินดิจิตัลสกุล Monero ซึ่งมัลแวร์ตัวนี้ได้แพร่ระบาดผ่านทาง Facebook Messenger อีกทั้งติดตั้ง Chrome Extension เพื่อแพร่ไปยังเหยื่อรายใหม่ โดยมีรายงานถูกพบจากผู้ใช้ประเทศเกาหลีใต้เป็นครั้งแรก รวมถึงประเทศอื่นๆ ตามมาเช่น เวียดนาม อาเซอร์ไบจาน ยูเครน ฟิลิปินส์ เวเนซูเอล่า รวมถึงไทยด้วย

การแพร่ระบาดของ Digmine 

พฤติกรรมที่เกิดขึ้นคือเหยื่อจะได้รับไฟล์วีดีโอชื่อ video_xxxx.zip (xxxx แทนด้วยตัวเลข 4 หลัก) ซึ่งภายในได้ซ่อน EXE ไฟล์เอาไว้ หากผู้ใช้ไม่ได้ระมัดระวังก็จะรันไฟล์ทำให้ตัวเองติดมัลแวร์ Digmine โดยมัลแวร์ตัวนี้ถูกพัฒนาขึ้นด้วยภาษา AutoIT (ภาษาสคริปต์ตัวหนึ่ง) ซึ่งมีฟีเจอร์ที่เอาไว้คอยรับคำสั่งจากเซิร์ฟเวอร์ภายนอก (C&C) ได้ด้วย ผู้เชี่ยวชาญจาก Trend Micro ยังกล่าวว่าเซิร์ฟเวอร์ C&C ภายนอกได้ส่งตัวขุดเหมือง Monero และ Chrome Extension กลับไปหาเหยื่อ

นอกจากนี้มัลแวร์ตัวนี้ยังเข้าไปเพิ่มกลไกเริ่มต้นตัวเองอัตโนมัติใน Registry ด้วย หลังจากนั้นมันจะติดตั้งตัวขุดเหมือง Monero และ Chrome Extension โดยปกติแล้วการดาวน์โหลด Chrome ต้องทำผ่าน Web Store เท่านั้นแต่ในกรณีนี้ผู้โจมตีได้ใช้วิธีการอันชาญชลาดเพื่อติดตั้ง Extension คือใช้พารามิเตอร์ใน Command Line ของแอปพลิเคชัน Chrome

มีการติดตั้ง Chrome Extension เพื่อกระจายตัวเอง

หน้าที่ของ Extension จริงๆ แล้วใช้เพื่อเข้าถึงโปรไฟล์ Facebook Messenger ของเหยื่อและส่งข้อความ video_xxxx.zip ไปหาผู้ใช้คนอื่นที่อยู่ในรายชื่อติดต่อของเหยื่อคนนั้น อย่างไรก็ดีวิธีการแพร่กระจายตัวเองนี้จะเกิดขึ้นได้เมื่อเหยื่อมีการลงชื่อเข้าใช้โดยอัตโนมัติใน Chrome เท่านั้น หากผู้ใช้ไม่มี Credential ของ Facebook บันทึกไว้ใน Chrome การกระจายตัวนี้ก็ทำไม่ได้ โดยนักวิจัยได้ชี้ว่าการใช้งาน EXE ไฟล์หมายถึงมันจะถูกใช้บนระบบปฏิบัติการที่เป็น Windows เท่านั้นจึงไม่กระทบกับผู้ใช้งานใน Linux และ Mac

Facebook ได้ออกมาขัดขวางและระงับเหตุการณ์แล้ว

ทาง Facebook ได้ขัดขวางการทำงานครั้งนี้แล้วด้วยการลบลิ้งอันตรายออกจากบทสนทนาของผู้ใช้ แต่ความเป็นจริงแล้ว Digmine ก็สามารถเปลี่ยนลิ้งที่ใช้กระจายตัวเองใหม่และกลับมาเริ่มต้นแพร่ระบาดอีกครั้งได้ โฆษกของ Facebook กล่าวว่า “เราได้ใช้ระบบอัตโนมัติเพื่อหยุดยั้งลิ้งและไฟล์ที่เป็นอันตรายที่ปรากฏในหน้า Facebook และ Messenger” พร้อมทั้งเสริมว่า “หากเราพบว่าเครื่องของคุณติดมัลแวร์เราจะจัดหา Anti-virus ฟรีจากพันธมิตรที่น่าเชื่อถือของเราให้คุณ นอกจากนี้เรายังได้แชร์เคล็ดลับในการใช้งานอย่างมั่นคงปลอดภัยใน facebook.com/help แล้ว

ที่มา : https://www.bleepingcomputer.com/news/security/digmine-malware-spreading-via-facebook-messenger/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ปกป้องข้อมูลและกู้สถานการณ์จาก Ransomware โดยอัตโนมัติ ด้วย IBM FlashSystem Cyber Vault

ทุกวันนี้ การรับมือกับ Ransomware ได้กลายเป็นหนึ่งในหน้าที่พื้นฐานของเหล่าผู้ดูแลระบบ IT ภายในองค์กรไปแล้ว และแน่นอนว่าเหล่าผู้พัฒนาโซลูชันระบบต่างๆ ที่เกี่ยวข้องกับการบริหารจัดการข้อมูล โดยเฉพาะ Enterprise Storage เองต่างก็ได้มีการพัฒนาความสามารถใหม่ๆ ขึ้นมาอย่างต่อเนื่องเพื่อช่วยเหล่าผู้ดูแลระบบ IT ในการรับมือกับภัยคุกคามดังกล่าว

[Video] รู้จักโซลูชัน IBM FlashSystem Cyber Vault: ปกป้องข้อมูลสำคัญของธุรกิจจาก Ransomware แบบอัตโนมัติ

ธุรกิจองค์กรสามารถเลือกใช้ IBM FlashSystem Cyber Vault ในการรับมือกับ Ransomware ในแบบอัตโนมัติได้อย่างเหมาะสมตามความต้องการ ต่อยอดจากการใช้เพียง IBM FlashSystem และ IBM Safeguarded Copy เพื่อปกป้องข้อมูล Snapshot จากการถูกโจมตีเพียงเท่านั้นได้