TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
MalwareHunterTeam ออกมาแจ้งเตือนถึงเว็บ Office 365 ปลอมที่ใช้แพร่กระจาย Trickbot Trojan เสี่ยงอาจถูกขโมยรหัสผ่านได้
เว็บปลอมดังกล่าวมีลักษณะคล้ายคลึงกับเว็บในเครือของ Microsoft เป็นอย่างมาก และลิงค์ต่างๆ บนเว็บไซต์ก็ชี้ไปยังเพจที่โฮสต์บนโดเมนของ Microsoft อีกด้วย ทำให้นอกจาก URL แล้ว เป็นเรื่องยากที่จะจำแนกว่าเป็นเว็บไซต์ปลอม
ไม่กี่วินาทีหลังจากเข้าสู่เว็บปลอมดังกล่าว จะมีข้อความแจ้งเตือนเด้งขึ้นมา ระบุว่า เบราว์เซอร์ที่ใช้งานอยู่เป็นเวอร์ชันที่เก่าเกินไป อาจเสี่ยงเกิดความผิดพลาดหรือข้อมูลสูญหายได้ จำเป็นต้องได้รับการอัปเดตใหม่ ซึ่งข้อความเหล่านี้จะแตกต่างกันเล็กน้อยขึ้นอยู่กับว่าใช้ Google Chrome หรือ Firefox ดังแสดงในรูปด้านล่าง
ถ้าเหยื่อเผลอคลิกปุ่ม Update จะเป็นการดาวน์โหลดไฟล์ upd365_58v01.exe ลงสู่เครื่อง เมื่อสั่งรัน ไฟล์ดังกล่าวจะทำการติดตั้ง Trickbot Trojan โดยแทรกเข้าไปยัง svchost.exe เพื่อให้การตรวจจับทำได้ยาก จากนั้น Trojan จะทำการติดต่อกับ C&C Server แล้วเริ่มการทำงานโมดูลอื่นๆ เช่น systeminfo64 เพื่ออัปโหลดข้อมูลเกี่ยวกับคอมพิวเตอร์ของเหยื่อ โปรแกรมที่ลง และเซอร์วิสบน Windows ต่างๆ ไปให้แฮ็กเกอร์ หรือ pwgrab64 เพื่อค้นหาและขโมยข้อมูลล็อกอิน ประวัติการท่องเว็บ ข้อมูลที่กรอกลงฟอร์มโดยอัตโนมัติ และอื่นๆ
สำหรับผู้ที่เผลอเข้าถึงเว็บปลอมและติดตั้งอัปเดตตามที่แจ้งเตือนขึ้นมา แนะนำให้ทำการสแกนมัลแวร์บนเครื่องและเปลี่ยนรหัสผ่านบนบริการออนไลน์อื่นๆ ที่ใช้รหัสผ่านซ้ำกันอยู่ หรือมีการเซฟรหัสผ่านบนเบราว์เซอร์โดยด่วน
ที่มาและเครดิตรูปภาพ: https://www.bleepingcomputer.com/news/security/fake-office-365-site-pushes-trickbot-trojan-as-browser-update/
