Microsoft Azure by Ingram Micro (Thailand)

ผู้เชี่ยวชาญพบคนร้ายใช้ Google File Cabinet เป็นฐานการโจมตี

Netskope Threat Research Lab ได้เผยถึงการโจมตีที่น่าสนใจคือคนร้ายได้ใช้ Google File Cabinet เป็นตัวนำส่งมัลแวร์

credit : Bleepingcomputer

สิ่งที่ต้องรู้เบื้องต้นคือ Google Site เป็นแพลตฟอร์มสำหรับการสร้างเว็บไซต์เหมือน WordPress หรือ Wix นั่นเองซึ่งเป็นส่วนหนึ่งของ G Suite จึงสามารถทำงานร่วมกับบริการอื่นๆ จาก Google ได้ทำให้เหมาะกับธุรกิจมากกว่า โดยภายในมีฟีเจอร์ File Cabinet สำหรับแชร์เอกสาร เช่น รูปภาพ เอกสาร PDF หรือไฟล์รูปแบบอื่นๆ 

โดย Netskope ให้ข้อมูลว่า “คนร้ายได้สร้างเว็บไซต์จาก Google Sites และอัปโหลด Payload ของมัลแวร์ LoadPCBanker (แสแสร้งเป็น PDF) ไว้บน Cabinet จากนั้นก็ส่ง URL ไปหาเหยื่อ” (รูปภาพด้านบน) หากเหยื่อหลงเชื่อ Execute ไฟล์ PDF ปลอมนั้นก็จะไปสร้างโฟลเดอร์เพื่อดาวน์โหลด libmySQL50.DLL, otlook.exe และ Cliente.dll จากเว็บไซต์ที่ชื่อ KingHost สำหรับไฟล์ otlook.exe นั้นคนร้ายตั้งใจทำให้เหมือน Microsoft Outlook Email Client แต่อันที่จริงสามารถขโมยข้อมูลผู้ใช้ได้เช่น จับภาพหน้าจอ บันทึกข้อมูล และบันทึกการกดแป้นพินพ์ เป็นต้น นอกจากนี้ไฟล์ข้างต้นยังมีการบันทึก Credentials และรายละเอียดการเชื่อมต่อที่ใช้ติดต่อไปยังเซิร์ฟเวอร์ MySQL ของคนร้ายด้วยซึ่งคนร้ายจะคอยเปลี่ยนรหัสผ่านอยู่เรื่อยๆ ทุก 1-2 สัปดาห์

อย่างไรก็ตามนักวิจัยคาดว่าคนร้ายหวังโจมตีผู้ใช้ที่อ่านภาษาโปรตุเกส (มีประเทศบราซิลและโปรตุเกสที่ใช้ภาษานี้) เพราะไฟล์ PDF ปลอมแปลงมีชื่อว่า ‘PDF Reservations Details MANOEL CARVALHO hospedagem familiar detalhes PDF.exe’ โดยความน่าสนใจสำหรับกรณีนี้ไม่ใช่เรื่องของจำนวนของเหยื่อเพราะนักวิจัยกล่าวว่ามีเหยื่อที่ Active อยู่จริงราวๆ 20 เครื่องเท่านั้นแต่วิธีการที่คนร้ายใช้ Google เป็นฐานการโจมตีคือสิ่งที่น่าจับตามอง

ที่มา :  https://www.bleepingcomputer.com/news/security/malware-hosted-in-google-sites-sends-data-to-mysql-server/ และ  https://www.darkreading.com/endpoint/google-file-cabinet-plays-host-to-malware-payloads/d/d-id/1334513

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Cisco ปิดดีลเข้าซื้อ Splunk มูลค่า 1 ล้านล้านบาท

หลังจากผ่านการตรวจสอบอย่างเข้มข้นจนได้รับอนุมัติเรียบร้อย ล่าสุดทาง Cisco ได้ประกาศถึงความสำเร็จในการเข้าซื้อกิจการของ Splunk ที่มูลค่า 28,000 ล้านเหรียญหรือราวๆ 1 ล้านล้านบาทอย่างเป็นทางการแล้ว

Microsoft ยกเลิกการใช้ 1024-bit RSA Key บน Windows แล้ว

Microsoft ประกาศยกเลิกการใช้กุญแจเข้ารหัส 1024-bit RSA Key บน Windows แล้ว เปลี่ยนไปใช้กุญแจเข้ารหัสความยาว 2048-bit เป็นอย่างน้อย