CDIC 2023

เตือนเว็บ Office 365 ปลอม เสี่ยงถูกหลอกลง Trickbot Trojan ขโมยรหัสผ่าน

MalwareHunterTeam ออกมาแจ้งเตือนถึงเว็บ Office 365 ปลอมที่ใช้แพร่กระจาย Trickbot Trojan เสี่ยงอาจถูกขโมยรหัสผ่านได้

เว็บปลอมดังกล่าวมีลักษณะคล้ายคลึงกับเว็บในเครือของ Microsoft เป็นอย่างมาก และลิงค์ต่างๆ บนเว็บไซต์ก็ชี้ไปยังเพจที่โฮสต์บนโดเมนของ Microsoft อีกด้วย ทำให้นอกจาก URL แล้ว เป็นเรื่องยากที่จะจำแนกว่าเป็นเว็บไซต์ปลอม

ไม่กี่วินาทีหลังจากเข้าสู่เว็บปลอมดังกล่าว จะมีข้อความแจ้งเตือนเด้งขึ้นมา ระบุว่า เบราว์เซอร์ที่ใช้งานอยู่เป็นเวอร์ชันที่เก่าเกินไป อาจเสี่ยงเกิดความผิดพลาดหรือข้อมูลสูญหายได้ จำเป็นต้องได้รับการอัปเดตใหม่ ซึ่งข้อความเหล่านี้จะแตกต่างกันเล็กน้อยขึ้นอยู่กับว่าใช้ Google Chrome หรือ Firefox ดังแสดงในรูปด้านล่าง

ถ้าเหยื่อเผลอคลิกปุ่ม Update จะเป็นการดาวน์โหลดไฟล์ upd365_58v01.exe ลงสู่เครื่อง เมื่อสั่งรัน ไฟล์ดังกล่าวจะทำการติดตั้ง Trickbot Trojan โดยแทรกเข้าไปยัง svchost.exe เพื่อให้การตรวจจับทำได้ยาก จากนั้น Trojan จะทำการติดต่อกับ C&C Server แล้วเริ่มการทำงานโมดูลอื่นๆ เช่น systeminfo64 เพื่ออัปโหลดข้อมูลเกี่ยวกับคอมพิวเตอร์ของเหยื่อ โปรแกรมที่ลง และเซอร์วิสบน Windows ต่างๆ ไปให้แฮ็กเกอร์ หรือ pwgrab64 เพื่อค้นหาและขโมยข้อมูลล็อกอิน ประวัติการท่องเว็บ ข้อมูลที่กรอกลงฟอร์มโดยอัตโนมัติ และอื่นๆ

สำหรับผู้ที่เผลอเข้าถึงเว็บปลอมและติดตั้งอัปเดตตามที่แจ้งเตือนขึ้นมา แนะนำให้ทำการสแกนมัลแวร์บนเครื่องและเปลี่ยนรหัสผ่านบนบริการออนไลน์อื่นๆ ที่ใช้รหัสผ่านซ้ำกันอยู่ หรือมีการเซฟรหัสผ่านบนเบราว์เซอร์โดยด่วน

ที่มาและเครดิตรูปภาพ: https://www.bleepingcomputer.com/news/security/fake-office-365-site-pushes-trickbot-trojan-as-browser-update/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

WatchGuard AuthPoint MFA ระบบยืนยันตัวตน 2 ชั้น ป้องกันรหัสผ่านถูกแฮ็ก [Guest Post]

WatchGuard AuthPoint MFA ระบบยืนยันตัวตน 2 ชั้น ป้องกันรหัสผ่านถูกแฮ็ก รับมือการขโมยข้อมูลระดับสูง แฮ็กเกอร์มักใช้การโจมตีทางวิศวกรรมสังคมเพื่อเข้าถึงข้อมูลประจำตัวขององค์กรและเจาะระบบเครือข่ายขนาดใหญ่ เมื่อโจมตีเข้าสู่เครือข่ายองค์กร แฮ็กเกอร์มักจะใช้ข้อมูลประจำตัวการเข้าสู่ระบบของพนักงานที่ถูกขโมยเพื่อเข้าถึง VPN และระบบเครือข่าย

Whoscall เตือน!! ระวังมิจฉาชีพใช้ AI ปลอมเสียง หลอกลวงเหยื่อ [Guest Post]

Gogolook ผู้พัฒนาแอปพลิเคชัน Whoscall และผู้ให้บริการทางด้านเทคโนโลยี เพื่อความเชื่อมั่น (TrustTech) เตือนภัยมิจฉาชีพในประเทศไทยเริ่มใช้วิธีหลอกลวงใหม่ด้วยเทคโนโลยี AI ปลอมเสียง คำเตือนดังกล่าวเกิดขึ้นในขณะที่ Gogolook เข้าร่วมเป็นพันธมิตรองค์กรต่อต้านกลโกงระดับโลก GASA (The Global …