พบมัลแวร์รูปภาพแพร่กระจายบน Facebook นำไปสู่ Locky Ransomware

Bart Blaze นักวิจัยด้านมัลแวร์และ Peter Kruse นักวิจัยด้านอาชญากรรมไซเบอร์ ออกมาแจ้งเตือนถึงแคมเปญ Facebook Spam บนโปรแกรม Messenger ซึ่งใช้แพร่กระจาย Nemucod Downloader เสี่ยงนำไปสู่การดาวน์โหลด Locky Ransomware มายังเครื่องของผู้ใช้ได้

Facebook Spam ดังกล่าวมาในรูปของการส่งรูปภาพนามสกุล SVG ซึ่งเป็นฟอร์แมตใหม่ที่นิยมใช้บันทึกไฟล์ภาพ Vector สำหรับใช้งานบนเว็บไซต์ในปัจจุบัน ที่น่าสนใจคือ รูปภาพ SVG นี้สามารถบายพาสระบบ Whitelisting ของ Facebook เพื่้อลอบส่ง Ransomware ผ่าน Downloader ได้

ไฟล์ SVG มีจุดเด่นคือเป็นไฟล์แบบ XML-based นั่นหมายความว่าแฮ็คเกอร์สามารถฝังโค้ด JavaScript ลงไปในรูปภาพได้ เมื่อเหยื่อเผลอเปิดไฟล์ดังกล่าว สคริปต์จะถูกรันและนำเหยื่อไปยังเว็บไซต์ที่หน้าตาเหมือน Youtube แต่ถ้าสังเกตดีๆ จะพบว่าเป็นคนละ URL กัน

เมื่อเว็บเพจถูกโหลด จะมีป๊อบอัพเด้งขึ้นมาถามเหยื่อให้ติดตั้ง Codec เพื่อเล่นวิดีโอที่แสดงอยู่บนหน้าเว็บไซต์ Codec ดังกล่าวอยู่ในรูปของ Chrome Extension ถ้าเผลอติดตั้งลงไปแล้ว มันจะทำการเข้าถึงบัญชี Facebook ของเหยื่อผ่านเบราเซอร์เพื่อลอบส่ง Spam ต่อไปยังผู้ใช้คนอื่นๆ ที่อยู่ในรายชื่อเพื่อน

ในบางกรณี Chrome Extension นี้จะทำการดาวน์โหลด Nemucod Downloader มาติดตั้ง เพื่อลอบส่ง Locky Ransomware เข้ามายังเครื่องของเหยื่อ อย่างไรก็ตาม จากการตรวจสอบเบื้องต้นพบว่านี่เป็นเพียงหนึ่งในรูปแบบการโจมตีเท่านั้น อาจมีการดาวน์โหลด Extension แปลกปลอมอื่นๆ มาติดตั้งด้วยก็ได้เช่นกัน

นักวิจัยทั้งสองได้แจ้งเรื่องไปยัง Facebook และ Google แล้ว คาดว่าแคมเปญ Facebook Spam นี้จะถูกบล็อกเร็วๆ นี้ ระหว่างนี้แนะนำให้หลีกเลี่ยงการเปิดไฟล์ SVG ที่ส่งมายัง Facebook Messenger

ที่มา: http://www.csoonline.com/article/3143173/security/malicious-images-on-facebook-lead-to-locky-ransomware.html