Breaking News
AMR | Citrix Webinar: The Next New Normal

ผู้เชี่ยวชาญพบคนร้ายใช้ Google File Cabinet เป็นฐานการโจมตี

Netskope Threat Research Lab ได้เผยถึงการโจมตีที่น่าสนใจคือคนร้ายได้ใช้ Google File Cabinet เป็นตัวนำส่งมัลแวร์

credit : Bleepingcomputer

สิ่งที่ต้องรู้เบื้องต้นคือ Google Site เป็นแพลตฟอร์มสำหรับการสร้างเว็บไซต์เหมือน WordPress หรือ Wix นั่นเองซึ่งเป็นส่วนหนึ่งของ G Suite จึงสามารถทำงานร่วมกับบริการอื่นๆ จาก Google ได้ทำให้เหมาะกับธุรกิจมากกว่า โดยภายในมีฟีเจอร์ File Cabinet สำหรับแชร์เอกสาร เช่น รูปภาพ เอกสาร PDF หรือไฟล์รูปแบบอื่นๆ 

โดย Netskope ให้ข้อมูลว่า “คนร้ายได้สร้างเว็บไซต์จาก Google Sites และอัปโหลด Payload ของมัลแวร์ LoadPCBanker (แสแสร้งเป็น PDF) ไว้บน Cabinet จากนั้นก็ส่ง URL ไปหาเหยื่อ” (รูปภาพด้านบน) หากเหยื่อหลงเชื่อ Execute ไฟล์ PDF ปลอมนั้นก็จะไปสร้างโฟลเดอร์เพื่อดาวน์โหลด libmySQL50.DLL, otlook.exe และ Cliente.dll จากเว็บไซต์ที่ชื่อ KingHost สำหรับไฟล์ otlook.exe นั้นคนร้ายตั้งใจทำให้เหมือน Microsoft Outlook Email Client แต่อันที่จริงสามารถขโมยข้อมูลผู้ใช้ได้เช่น จับภาพหน้าจอ บันทึกข้อมูล และบันทึกการกดแป้นพินพ์ เป็นต้น นอกจากนี้ไฟล์ข้างต้นยังมีการบันทึก Credentials และรายละเอียดการเชื่อมต่อที่ใช้ติดต่อไปยังเซิร์ฟเวอร์ MySQL ของคนร้ายด้วยซึ่งคนร้ายจะคอยเปลี่ยนรหัสผ่านอยู่เรื่อยๆ ทุก 1-2 สัปดาห์

อย่างไรก็ตามนักวิจัยคาดว่าคนร้ายหวังโจมตีผู้ใช้ที่อ่านภาษาโปรตุเกส (มีประเทศบราซิลและโปรตุเกสที่ใช้ภาษานี้) เพราะไฟล์ PDF ปลอมแปลงมีชื่อว่า ‘PDF Reservations Details MANOEL CARVALHO hospedagem familiar detalhes PDF.exe’ โดยความน่าสนใจสำหรับกรณีนี้ไม่ใช่เรื่องของจำนวนของเหยื่อเพราะนักวิจัยกล่าวว่ามีเหยื่อที่ Active อยู่จริงราวๆ 20 เครื่องเท่านั้นแต่วิธีการที่คนร้ายใช้ Google เป็นฐานการโจมตีคือสิ่งที่น่าจับตามอง

ที่มา :  https://www.bleepingcomputer.com/news/security/malware-hosted-in-google-sites-sends-data-to-mysql-server/ และ  https://www.darkreading.com/endpoint/google-file-cabinet-plays-host-to-malware-payloads/d/d-id/1334513



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

สิงคโปร์เตรียมยกระดับการเข้ารหัสข้อมูลด้วย Quantum Cryptography

ST Engineering และ National University of Singapore (NUS) เตรียมนำ Measurement-Device-Independent Quantum Key Distribution (MDI QKD) …

พบบั๊กบน Sign in with Apple เสี่ยงถูกแฮ็กบัญชีล็อกอิน

Bhavuk Jain นักวิจัยด้านความมั่นคงปลอดภัยจากอินเดียออกมาเปิดเผยถึงช่องโหว่ความรุนแรงระดับ Critical บนระบบ “Sign in with Apple” ซึ่งช่วยให้แฮ็กเกอร์สามารถบายพาสการพิสูจน์ตัวตนและเข้าควบคุมบัญชีของผู้ใช้บน 3rd Party Services และ Applications …