Breaking News

ผู้เชี่ยวชาญพบคนร้ายใช้ Google File Cabinet เป็นฐานการโจมตี

Netskope Threat Research Lab ได้เผยถึงการโจมตีที่น่าสนใจคือคนร้ายได้ใช้ Google File Cabinet เป็นตัวนำส่งมัลแวร์

credit : Bleepingcomputer

สิ่งที่ต้องรู้เบื้องต้นคือ Google Site เป็นแพลตฟอร์มสำหรับการสร้างเว็บไซต์เหมือน WordPress หรือ Wix นั่นเองซึ่งเป็นส่วนหนึ่งของ G Suite จึงสามารถทำงานร่วมกับบริการอื่นๆ จาก Google ได้ทำให้เหมาะกับธุรกิจมากกว่า โดยภายในมีฟีเจอร์ File Cabinet สำหรับแชร์เอกสาร เช่น รูปภาพ เอกสาร PDF หรือไฟล์รูปแบบอื่นๆ 

โดย Netskope ให้ข้อมูลว่า “คนร้ายได้สร้างเว็บไซต์จาก Google Sites และอัปโหลด Payload ของมัลแวร์ LoadPCBanker (แสแสร้งเป็น PDF) ไว้บน Cabinet จากนั้นก็ส่ง URL ไปหาเหยื่อ” (รูปภาพด้านบน) หากเหยื่อหลงเชื่อ Execute ไฟล์ PDF ปลอมนั้นก็จะไปสร้างโฟลเดอร์เพื่อดาวน์โหลด libmySQL50.DLL, otlook.exe และ Cliente.dll จากเว็บไซต์ที่ชื่อ KingHost สำหรับไฟล์ otlook.exe นั้นคนร้ายตั้งใจทำให้เหมือน Microsoft Outlook Email Client แต่อันที่จริงสามารถขโมยข้อมูลผู้ใช้ได้เช่น จับภาพหน้าจอ บันทึกข้อมูล และบันทึกการกดแป้นพินพ์ เป็นต้น นอกจากนี้ไฟล์ข้างต้นยังมีการบันทึก Credentials และรายละเอียดการเชื่อมต่อที่ใช้ติดต่อไปยังเซิร์ฟเวอร์ MySQL ของคนร้ายด้วยซึ่งคนร้ายจะคอยเปลี่ยนรหัสผ่านอยู่เรื่อยๆ ทุก 1-2 สัปดาห์

อย่างไรก็ตามนักวิจัยคาดว่าคนร้ายหวังโจมตีผู้ใช้ที่อ่านภาษาโปรตุเกส (มีประเทศบราซิลและโปรตุเกสที่ใช้ภาษานี้) เพราะไฟล์ PDF ปลอมแปลงมีชื่อว่า ‘PDF Reservations Details MANOEL CARVALHO hospedagem familiar detalhes PDF.exe’ โดยความน่าสนใจสำหรับกรณีนี้ไม่ใช่เรื่องของจำนวนของเหยื่อเพราะนักวิจัยกล่าวว่ามีเหยื่อที่ Active อยู่จริงราวๆ 20 เครื่องเท่านั้นแต่วิธีการที่คนร้ายใช้ Google เป็นฐานการโจมตีคือสิ่งที่น่าจับตามอง

ที่มา :  https://www.bleepingcomputer.com/news/security/malware-hosted-in-google-sites-sends-data-to-mysql-server/ และ  https://www.darkreading.com/endpoint/google-file-cabinet-plays-host-to-malware-payloads/d/d-id/1334513


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

พบแฮ็กเกอร์เร่ขายบัญชี Disney+ หลายพันหลังเปิดให้บริการ

เมื่อวันที่ 12 พฤศจิกายนมีการเปิดบริการ Disney+ หรือบริการ Streaming รายใหญ่อีกเจ้า โดยหลังให้บริการได้ไม่กี่วัน ล่าสุดก็เริ่มพบแอ้คเค้าน์หลายพันถูกเร่ขายในเว็บใต้ดิน

GitHub ออก ‘Security Lab’ ยกระดับความมั่นคงปลอดภัยให้โปรเจ็คโอเพ่นซอร์ส

เมื่อสัปดาห์ที่ผ่านมาในงาน GitHub Universe บริษัทได้มีการประกาศออก Security Lab หรือโปรแกรมที่มุ่งเน้นการยกระดับความมั่นคงปลอดภัยของสภาพแวดล้อมของโอเพ่นซอร์ส