Black Hat Asia 2021

[Guest Post] แคสเปอร์สกี้เผยมัลแวร์หน้าใหม่โจมตีอาเซียน ไทยโดนด้วย 27 ครั้งในเดือนเดียว

แคสเปอร์สกี้ค้นพบการเติบโตอย่างมากของมัลแวร์ที่กลุ่มไซเลนต์เฟด (SilentFade) ใช้ ซึ่งเป็นกลุ่มอาชญากรไซเบอร์ที่รับผิดชอบการฉ้อโกงมูลค่า 4 ล้านดอลลาร์บน Facebook ในปี 2019 ทั้งนี้เมื่อเดือนมกราคมปี 2021 ผู้เชี่ยวชาญของแคสเปอร์สกี้ได้บันทึกและวิเคราะห์รูทคิต Frank rootkit และพบว่ามีความคล้ายคลึงกับแคมเปญนี้ โดยตรวจพบจำนวนเหตุการณ์โจมตีเกิดขึ้นมากที่สุดในเดือนมกราคมที่ผ่านมาที่ประเทศอินเดีย บราซิล อินโดนีเซีย อิตาลี เยอรมนี แอลจีเรีย มาเลเซีย รัสเซีย ฝรั่งเศส และอียิปต์

การส่งข้อมูลทางไกลของแคสเปอร์สกี้เมื่อปีที่แล้วไม่พบการปรากฏตัวของ SilentFade ในภูมิภาคเอเชียตะวันออกเฉียงใต้ แต่เมื่อมีการตรวจสอบเดือนมกราคม 2021 ก็พบว่ามัลแวร์นี้แพร่กระจายอย่างรวดเร็วโดยมีเหตุการณ์โจมตีทั้งหมด 576 รายการ โดยมีการโจมตีในอินโดนีเซีย 221 รายการ มาเลเซีย 137 รายการ ฟิลิปปินส์ 96 รายการ เวียดนาม 71 รายการ ไทย 27 รายการ และสิงคโปร์ 24 รายการ

แอนทอน คุซเมนโก ผู้เชี่ยวชาญด้านความปลอดภัยของแคสเปอร์สกี้ กล่าวว่า “การติดตามของเราแสดงให้เห็นว่าแคมเปญ SilentFade ไม่เคยหยุดนิ่ง เรากำลังเผชิญกับการเติบโตของกิจกรรมไม่พึงประสงค์ แนวคิดและวิธีการของเหล่าอาชญากรนั้นยังเหมือนเดิม มีเพิ่มเติมเปลี่ยนแปลงเพียงบางอย่างเท่านั้น ตอนนี้กลุ่ม SilentFade ยังแพร่กระจายตัวดาวน์โหลดซึ่งสามารถแพร่กระจายและดาวน์โหลดมัลแวร์อื่นๆ ที่อันตรายกว่า ไฟล์ที่ตรวจพบนี้คล้ายกับเวอร์ชั่นเก่าที่นักวิจัยในวงการความปลอดภัยไซเบอร์ตรวจเจอความเชื่อมโยงกับบริษัทสัญชาติจีน ในแง่ของการแพร่กระจาย มีความเป็นไปได้ว่ามีคนขายซอร์สโค้ดมัลแวร์นี้ หรือกลุ่มคนร้ายขายรูทคิตเอง หรือโค้ดอาจรั่วไหล”

SilentFade เป็นแคมเปญที่เริ่มต้นในปี 2016 โดยใช้การผสมผสานระหว่างโทรจัน Windows การโจมตีเบราว์เซอร์แบบ injection การเขียนสคริปต์ที่ชาญฉลาด และข้อผิดพลาดในแพลตฟอร์มของ Facebook ซึ่งแสดงให้เห็นถึงตัวดำเนินการที่ซับซ้อนที่แทบจะไม่เคยเห็นในมัลแวร์ที่กำหนดเป้าหมายไปยังบริษัทโซเชียลมีเดีย ชื่อของกลุ่ม SilentFade เป็นคำเรียกสั้นๆ แทนชื่อ “Silently running Facebook Ads with Exploits” หรือการหาประโยชน์จากงานโฆษณาบน Facebook แบบเงียบๆ”

วัตถุประสงค์การดำเนินการของ SilentFade คือเพื่อทำให้ผู้ใช้งานติดโทรจัน จี้ยึดเบราว์เซอร์ของผู้ใช้ ขโมยรหัสผ่านและคุกกี้ของเบราว์เซอร์เพื่อให้สามารถเข้าถึงบัญชี Facebook ได้

เมื่อเข้าถึงบัญชี Facebook ได้แล้ว กลุ่มอาชญากรไซเบอร์จะค้นหาบัญชีที่มีวิธีการชำระเงินประเภทใดก็ได้ที่แนบมากับโปรไฟล์ของตน สำหรับบัญชีเหล่านี้ SilentFade ซื้อโฆษณา Facebook ด้วยเงินของเหยื่อ มัลแวร์จะรวบรวมข้อมูลเกี่ยวกับบัญชีของผู้ใช้ เช่น ยอดคงเหลือในกระเป๋าเงินสำหรับโฆษณา จำนวนเงินที่ใช้ไปกับการโฆษณาก่อนหน้านี้ โทเค็นทุกประเภทและคุกกี้ จากนั้นอาชญากรไซเบอร์จะเริ่มโปรโมตโฆษณาของตนผ่านแพลตฟอร์มโฆษณาของโซเชียลเน็ตเวิร์ก

แม้จะเปิดดำเนินการเพียงไม่กี่เดือน แต่ Facebook ระบุว่ากลุ่มดังกล่าวสามารถหลอกลวงผู้ใช้ที่ติดมัลแวร์ได้มากกว่า 4 ล้านดอลลาร์ จากการโพสต์โฆษณา Facebook ที่เป็นอันตรายผ่านเครือข่ายโซเชียล

นายเซียง เทียง โยว ผู้จัดการทั่วไปประจำภูมิภาคเอเชียตะวันออกเฉียงใต้ แคสเปอร์สกี้ กล่าวว่า “ภัยคุกคามบนแพลตฟอร์มเหล่านี้ควรได้รับการดำเนินการอย่างจริงจังในเอเชียตะวันออกเฉียงใต้ เนื่องจากมีการใช้อินเทอร์เน็ตและโซเชียลมีเดียระดับสูงในภูมิภาค ประเทศในภูมิภาคนี้จำนวนห้าในหกประเทศใช้เวลาออนไลน์มากกว่า 7 ชั่วโมงในปี 2020 และ 69% ของประชากรทั้งหมดในภูมิภาคนี้เป็นผู้ใช้โซเชียลมีเดีย ซึ่งเป็นเปอร์เซ็นต์ที่สูงที่สุดในบรรดาภูมิภาคย่อยทั้งหมดในเอเชียแปซิฟิก การเพิ่มขึ้นของโฆษณาบนแพลตฟอร์มโซเชียลมีเดียส่งผลให้ข้อมูลทางการเงินเป็นขุมทรัพย์เป้าหมายที่มีกำไรสำหรับอาชญากรไซเบอร์อย่างกลุ่ม SilentFade แคสเปอร์สกี้ขอให้ผู้ใช้ทุกคนเพิ่มความปลอดภัยให้กับบัญชีของตนด้วยการใช้หลายปัจจัยในการตรวจสอบสิทธิ์ (multi-factor authentication) รหัสผ่านที่คาดเดายาก โซลูชั่นที่มีประสิทธิภาพและการระมัดระวังอย่างมาก”

 

ผู้เชี่ยวชาญของแคสเปอร์สกี้ยังแนะนำขั้นตอนป้องกันบัญชีให้ปลอดภัยจากมัลแวร์ SilentFade ดังนี้

  • รักษาความปลอดภัยคอมพิวเตอร์อุปกรณ์มือถือและข้อมูล ติดตั้งโซลูชั่นป้องกันมัลแวร์ที่เข้มงวดบนคอมพิวเตอร์ สมาร์ทโฟน และแท็บเล็ตของคุณ – เพื่อปกป้องอุปกรณ์จากไวรัสคอมพิวเตอร์ เวิร์ม ไวรัส โทรจัน และภัยคุกคามอื่น ๆ
  • ใช้บัตรเครดิตชั่วคราว บริษัทบัตรเครดิตบางแห่งจะออกหมายเลขบัตรเครดิตชั่วคราวให้กับลูกค้าของตน หมายเลขชั่วคราวเหล่านี้มีประโยชน์สำหรับการซื้อครั้งเดียว อย่างไรก็ตามควรหลีกเลี่ยงการใช้สำหรับการซื้อใดๆ ที่ต้องต่ออายุอัตโนมัติหรือชำระเงินเป็นประจำ
  • ใช้คอมพิวเตอร์ที่ “สะอาด” เพื่อความปลอดภัยที่เพิ่มขึ้น ใช้งานเครื่องสำหรับธุรกรรมทางการเงินออนไลน์ทั้งหมดของคุณโดยเฉพาะ ซึ่งปราศจากไวรัสคอมพิวเตอร์และการติดเชื้ออื่นๆ โดยสิ้นเชิง ไม่ควรใช้เครื่องนี้สำหรับการท่องเว็บ เครือข่ายสังคมออนไลน์ หรืออีเมลใดๆ
  • จัดการและปกป้องรหัสผ่านออนไลน์ การใช้ตัวจัดการรหัสผ่าน (password manager) ที่สามารถช่วยจัดการกับบัญชีและรหัสผ่านหลายบัญชี และเพื่อเข้ารหัสรหัสผ่านที่อาจเป็นข้อความธรรมดา ผลิตภัณฑ์ซอฟต์แวร์ป้องกันไวรัสและความปลอดภัยทางอินเทอร์เน็ตบางอย่างมีคุณสมบัติการจัดการรหัสผ่านและการรักษาความปลอดภัยด้วยรหัสผ่าน

 

About Maylada

Check Also

[Guest Post] Microsoft Exchange Server โดนโจมตีผ่านช่องโหว่ ส่งผลต่อความมั่นคงด้านความปลอดภัยของข้อมูล

ฮือฮาวงการธุรกิจ Microsoft Exchange Server โดนโจมตีผ่านช่องโหว่จนนำไปสู่การโจมตีผ่านอีเมลเซิร์ฟเวอร์กว่า 500 เซิร์ฟเวอร์ ซึ่งเหตุการณ์นี้เกิดขึ้นที่อังกฤษ ส่งผลให้องค์กรเหล่านั้นสูญเสียความน่าเชื่อถือเป็นอย่างมาก ในขณะที่ไต้หวันก็โดนโจมตีผ่านอีเมลเซิร์ฟเวอร์เช่นกัน

รู้จักกับบอทอันตราย 5 ประเภท

เราทราบกันดีอยู่แล้วว่าในอินเทอร์เน็ตมีการใช้งาน Bot ทั้งเพื่อจุดประสงค์ที่ดีหรือร้ายก็ตาม อย่างไรก็ดีวันนี้เราจะขอแนะนำให้รู้จักกับ 5 รูปแบบของบอทอันตราย