ลอบส่งมัลแวร์ผ่าน Facebook CDN บายพาสระบบรักษาความมั่นคงปลอดภัย

ในช่วง 2 สัปดาห์ที่ผ่านมา นักวิจัยด้านความมั่นคงปลอดภัยหลายรายออกมาแจ้งเตือนถึงแคมเปญมัลแวร์ที่ลอบส่งเข้าเครื่องคอมพิวเตอร์ผ่านทางเครือข่าย CDN ของ Facebook ชี้แฮ็คเกอร์มีจุดประสงค์เพื่อให้ความน่าเชื่อถือของ Facebook ในการบายพาสระบบรักษาความมั่นคงปลอดภัยของคอมพิวเตอร์ผู้ใช้

กลุ่มแฮ็คเกอร์ดังกล่าวใช้ CDN ของ Facebook ในการจัดเก็บไฟล์มัลแวร์ แล้วลอบส่งเข้าเครื่องคอมพิวเตอร์ของผู้ใช้ เนื่องจากระบบรักษาความมั่นคงปลอดภัยส่วนใหญ่เชื่อว่าโดเมนของ Facebook CDN มีความมั่นคงปลอดภัยอยู่แล้ว จึงไม่มีการตรวจสอบทราฟฟิกมากนัก

แฮ็คเกอร์ลอบส่งมัลแวร์เข้าเครื่องของเหยื่อผ่านทางการปลอมแปลงอีเมล โดยหลอกผู้ใช้ว่าเป็นอีเมลทางการจากหน่วยงานท้องถิ่นพร้อมแนบลิงค์ที่มีมัลแวร์แฝงอยู่มาด้วย ซึ่งลิงค์ดังกล่าวจะชี้ไปยัง CDN Server ของ Facebook ที่แฮ็คเกอร์ได้แอบอัปโหลดมัลแวร์ไว้ล่วงหน้า ไม่ว่าจะเป็นผ่านทาง Facebook Group หรือช่องทางสาธารณะอื่นๆ บน Facebook ตัวอย่างลิงค์มัลแวร์บน Facebook CDN และอีเมลปลอมแสดงดังรูปด้านล่าง

https://cdn.fbsbx.com/v/t59.2708-21/20952350_119595195431306_4546532236425428992_n.rar/NF-DANFE_FICAL-N-5639000.rar?oh=9bb40a7aaf566c6d72fff781d027e11c&oe=59AABE4D&dl=1

เมื่อเหยื่อเผลอคลิกลิงค์ที่แนบว่า ไฟล์ RAR หรือ ZIP จะถูกโหลดลงสู่เครื่อง ซึ่งภายในจะเป็นไฟล์ลิงค์ (Shortcut) ไปยังแอพพลิเคชันทั่วๆ ไปที่พร้อมติดตั้งลงบน PC เช่น Command Prompt หรือ PowerShell สำหรับรันสคริปต์ PowerShell อันตรายที่มีการ Encode อยู่ เทคนิคการซ่อนพรางการปฏิบัติการอันตรายไว้ภายใต้แอพพลิเคชันที่ดูเหมือนไม่มีพิษมีภัยแบบนี้เรียกว่า “Squiblydoo” ซึ่งมีเป้าหมายเพื่อบายพาสซอฟต์แวร์รักษาความมั่นคงปลอดภัยที่ใช้งานทั่วไป

หลังจากที่สคริปต์ PowerShell ถูกรัน มันจะดาวน์โหลดและรันสคริปต์ PowerShell อีกอันหนึ่งเพื่อเริ่มปฏิบัติการที่ค่อนข้างสับสนงงงวย ไม่ว่าจะเป็นการดาวน์โหลดไฟล์ DDL เพื่อใช้สำหรับดาวน์โหลดไฟล์ EXE และ DLL อีกไฟล์หนึ่งเพิ่มเข้ามา การสร้างลิงค์สำหรับชี้ไปยังสคริปต์ VBS เพื่อใช้รันไฟล์ EXE ดังกล่าว ซึ่งจะโหลดไฟล์ DLL ที่เป็นมัลแวร์ต่อ เป็นต้น ระหว่างนี้ แฮ็คเกอร์จะทำการตรวจสสอบตำแหน่งเชิงภูมิศาสตร์ของเหยื่อจากหมายเลข IP ควบคู่ไปด้วย ถ้าเหยื่อไม่ได้อยู่ในกลุ่มประเทศที่เป็นเป้าหมาย คือ บราซิล การปฏิบัติการทั้งหมดก็จะถูกยกเลิกไป

สุดท้าย DLL ที่เป็นมัลแวร์จะทำการดาวน์โหลดและติดตั้ง Banload ซึ่งจะดาวน์โหลด Banking Trojan ต่อเพื่อมาใช้โจมตีเหยื่อชาวบราซิล โดยโทรจันดังกล่าว ESET ตรวจจับว่าเป็น Win32/Spy.Banker.ADYV

MalwareHunter นักวิจัยด้านความมั่นคงปลอดภัยที่ตรวจสอบการโจมตีนี้ระบุว่า เทคนิคและมัลแวร์ที่ใช้มีความซับซ้อนและแยบยลเป็นอย่างมาก อาจจะมากกว่ากลุ่มอาชญากรไซเบอร์ที่มีหน่วยงานรัฐสนับสนุนเสียอีก ซึ่งเฉพาะแคมเปญอีเมลสแปมที่ตรวจพบเมื่อวันที่ 2 กันยายนที่ผ่านมาก็มีเหยื่อเปิดอ่านมากกว่า 200,000 รายแล้ว นอกจากนี้ยังตรวจพบอีก 2 แคมเปญที่มียอดคนเปิดอีเมลรวมกันสูงถึง 70,000 – 80,000 ครั้งอีกด้วย

จนถึงตอนนี้ Facebook ได้ทราบถึงปัญหาที่เกิดขึ้นแล้ว และกำลังดำเนินการตรวจสอบและแก้ไขปัญหา

IOCs:

RAR file: 1faa46ba708e3405e7053cde872c65cc7a7d7fbf6411374eb6e977f20c160e16
DLL file: 41e463cd5d4cf20d02bb7cd23b70465480d1cd5cd3c9f8653e9f93b3a85124d8

ที่มา: https://www.bleepingcomputer.com/news/security/malware-group-uses-facebook-cdn-to-bypass-security-solutions/