TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
นักวิจัยด้านความมั่นคงปลอดภัยจาก Malwarebytes Labs ได้ออกมาเปิดเผยถึงการค้นพบการโจมตี ด้วยการสร้างเว็บ Blog ปลอมของ Symantec สำหรับใช้เผยแพร่ Proton Malware เพื่อโจมตีเหล่าผู้ใช้งาน macOS โดยเฉพาะ
Proton Malware นี้เป็น Malware ที่ถูกขายอยู่บน Dark Web ด้วยราคา 40BTC เมื่อต้นปีที่ผ่านมา และถูกใช้นำมาโจมตีผู้ใช้งาน macOS มาโดยตลอด โดย Proton Malware นี้จะทำการโจมตีและเจาะระบบเพื่อยกระดับสิทธิ์ของตนให้กลายเป็น Root เพื่อเข้าควบคุมเครื่อง macOS นั้นๆ รวมถึงยังมีการเปิด Realt-im Console Comand, File Manager, Key Logger, SSH/VNC, Screenshot, Webcam อีกทั้งยังแสดงหน้าจอเพื่อหลอกขโมยข้อมูบลัตรเครดิต, ใบขับขี่ และข้อมูลอื่นๆ ได้ ซึ่งในล่าสุดเว็บไซต์ที่ปลอมเป็น Blog ของ Symantec นี้ก็ได้นำ Malware ตัวนี้ไปใช้แพร่กระจายด้วยเช่นกัน
ภายใน Blog ปลอมของ Symantec เองนี้ก็ได้มีการใส่เนื้อหาวิเคราะห์ Malware ที่ชื่ือว่า CoinThief ลงไป พร้อมปล่อยให้ผู้ใช้งานโหลดเครื่องมือสำหรับปกป้องตัวเองที่มีชื่อว่า Symantec Malware Detector ซึ่งเป็นโปรแกรมปลอมที่ไม่มีอยู่จริง และจะทำการติดตั้ง Proton Malware ลงไปยังอุปกรณ์ของผู้ใช้งานแทน
การปลอม Blog ครั้งนี้ยังได้มีการปลอม Social Media Account ต่างๆ อีกด้วย อย่างไรก็ดี ตัวเว็บ Blog ปลอมนั้นใช้ SSL Certificate จาก Comodo แทนที่จะเป็น Certificate จาก Symantec
อย่างไรก็ดี Apple ได้รับทราบถึงการโจมตีนี้ และทำการระงับ Certificate ที่ Malware ตัวนี้ใช้ไปแล้ว ก็จะทำให้ผู้ที่ถูกโจมตีนั้นปลอดภัยมากขึ้น อีกทั้งเมื่อ Malwarebytes รายงานถึงการโจมตีนี้ เว็บไซต์นี้ก็ปิดตัวลงไปแล้วอย่างรวดเร็ว
ก็เป็นอีกบทเรียนที่น่าสนใจไม่น้อยครับ ถึงกรณีการโจมตีที่ปลอมแปลงตัวมาเพื่อหลอกให้คนสาย IT หลงเชื่อได้ง่าย ซึ่งในอนาคตการโจมตีรูปแบบนี้ก็อาจจะกลับมาอีกก็เป็นได้
ผู้ที่สนใจสามารถอ่านรายละเอียดฉบับเต็มได้ที่ https://blog.malwarebytes.com/threat-analysis/mac-threat-analysis/2017/11/osx-proton-spreading-through-fake-symantec-blog/ ครับ
ที่มา: https://www.hackread.com/fake-symantec-blog-caught-spreading-proton-macos-malware/
