ลอบส่งมัลแวร์ผ่าน Facebook CDN บายพาสระบบรักษาความมั่นคงปลอดภัย

ในช่วง 2 สัปดาห์ที่ผ่านมา นักวิจัยด้านความมั่นคงปลอดภัยหลายรายออกมาแจ้งเตือนถึงแคมเปญมัลแวร์ที่ลอบส่งเข้าเครื่องคอมพิวเตอร์ผ่านทางเครือข่าย CDN ของ Facebook ชี้แฮ็คเกอร์มีจุดประสงค์เพื่อให้ความน่าเชื่อถือของ Facebook ในการบายพาสระบบรักษาความมั่นคงปลอดภัยของคอมพิวเตอร์ผู้ใช้

กลุ่มแฮ็คเกอร์ดังกล่าวใช้ CDN ของ Facebook ในการจัดเก็บไฟล์มัลแวร์ แล้วลอบส่งเข้าเครื่องคอมพิวเตอร์ของผู้ใช้ เนื่องจากระบบรักษาความมั่นคงปลอดภัยส่วนใหญ่เชื่อว่าโดเมนของ Facebook CDN มีความมั่นคงปลอดภัยอยู่แล้ว จึงไม่มีการตรวจสอบทราฟฟิกมากนัก

แฮ็คเกอร์ลอบส่งมัลแวร์เข้าเครื่องของเหยื่อผ่านทางการปลอมแปลงอีเมล โดยหลอกผู้ใช้ว่าเป็นอีเมลทางการจากหน่วยงานท้องถิ่นพร้อมแนบลิงค์ที่มีมัลแวร์แฝงอยู่มาด้วย ซึ่งลิงค์ดังกล่าวจะชี้ไปยัง CDN Server ของ Facebook ที่แฮ็คเกอร์ได้แอบอัปโหลดมัลแวร์ไว้ล่วงหน้า ไม่ว่าจะเป็นผ่านทาง Facebook Group หรือช่องทางสาธารณะอื่นๆ บน Facebook ตัวอย่างลิงค์มัลแวร์บน Facebook CDN และอีเมลปลอมแสดงดังรูปด้านล่าง

https://cdn.fbsbx.com/v/t59.2708-21/20952350_119595195431306_4546532236425428992_n.rar/NF-DANFE_FICAL-N-5639000.rar?oh=9bb40a7aaf566c6d72fff781d027e11c&oe=59AABE4D&dl=1

เมื่อเหยื่อเผลอคลิกลิงค์ที่แนบว่า ไฟล์ RAR หรือ ZIP จะถูกโหลดลงสู่เครื่อง ซึ่งภายในจะเป็นไฟล์ลิงค์ (Shortcut) ไปยังแอพพลิเคชันทั่วๆ ไปที่พร้อมติดตั้งลงบน PC เช่น Command Prompt หรือ PowerShell สำหรับรันสคริปต์ PowerShell อันตรายที่มีการ Encode อยู่ เทคนิคการซ่อนพรางการปฏิบัติการอันตรายไว้ภายใต้แอพพลิเคชันที่ดูเหมือนไม่มีพิษมีภัยแบบนี้เรียกว่า “Squiblydoo” ซึ่งมีเป้าหมายเพื่อบายพาสซอฟต์แวร์รักษาความมั่นคงปลอดภัยที่ใช้งานทั่วไป

หลังจากที่สคริปต์ PowerShell ถูกรัน มันจะดาวน์โหลดและรันสคริปต์ PowerShell อีกอันหนึ่งเพื่อเริ่มปฏิบัติการที่ค่อนข้างสับสนงงงวย ไม่ว่าจะเป็นการดาวน์โหลดไฟล์ DDL เพื่อใช้สำหรับดาวน์โหลดไฟล์ EXE และ DLL อีกไฟล์หนึ่งเพิ่มเข้ามา การสร้างลิงค์สำหรับชี้ไปยังสคริปต์ VBS เพื่อใช้รันไฟล์ EXE ดังกล่าว ซึ่งจะโหลดไฟล์ DLL ที่เป็นมัลแวร์ต่อ เป็นต้น ระหว่างนี้ แฮ็คเกอร์จะทำการตรวจสสอบตำแหน่งเชิงภูมิศาสตร์ของเหยื่อจากหมายเลข IP ควบคู่ไปด้วย ถ้าเหยื่อไม่ได้อยู่ในกลุ่มประเทศที่เป็นเป้าหมาย คือ บราซิล การปฏิบัติการทั้งหมดก็จะถูกยกเลิกไป

สุดท้าย DLL ที่เป็นมัลแวร์จะทำการดาวน์โหลดและติดตั้ง Banload ซึ่งจะดาวน์โหลด Banking Trojan ต่อเพื่อมาใช้โจมตีเหยื่อชาวบราซิล โดยโทรจันดังกล่าว ESET ตรวจจับว่าเป็น Win32/Spy.Banker.ADYV

MalwareHunter นักวิจัยด้านความมั่นคงปลอดภัยที่ตรวจสอบการโจมตีนี้ระบุว่า เทคนิคและมัลแวร์ที่ใช้มีความซับซ้อนและแยบยลเป็นอย่างมาก อาจจะมากกว่ากลุ่มอาชญากรไซเบอร์ที่มีหน่วยงานรัฐสนับสนุนเสียอีก ซึ่งเฉพาะแคมเปญอีเมลสแปมที่ตรวจพบเมื่อวันที่ 2 กันยายนที่ผ่านมาก็มีเหยื่อเปิดอ่านมากกว่า 200,000 รายแล้ว นอกจากนี้ยังตรวจพบอีก 2 แคมเปญที่มียอดคนเปิดอีเมลรวมกันสูงถึง 70,000 – 80,000 ครั้งอีกด้วย

จนถึงตอนนี้ Facebook ได้ทราบถึงปัญหาที่เกิดขึ้นแล้ว และกำลังดำเนินการตรวจสอบและแก้ไขปัญหา

IOCs:

RAR file: 1faa46ba708e3405e7053cde872c65cc7a7d7fbf6411374eb6e977f20c160e16
DLL file: 41e463cd5d4cf20d02bb7cd23b70465480d1cd5cd3c9f8653e9f93b3a85124d8

ที่มา: https://www.bleepingcomputer.com/news/security/malware-group-uses-facebook-cdn-to-bypass-security-solutions/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เผย…ตลาดมืดออนไลน์ รับยิง DDoS!!

หลายท่านน่าจะพอทราบว่าในยุค Internet of Things อะไรก็เสกขึ้นมาได้ด้วยไอเดีย และกำลังสมองของมนุษย์ Cyber Attacks ก็เช่นกัน ที่หาโจมตีได้ง่ายเหลือเกิน แพคเกตมีให้เลือกหลากหลาย ราคาไม่แพง โปรโมชันก็มี แถมมีการจัดอันดับ TOP …

Machine Learning: ส่วนสำคัญของ Network และ Security จาก HPE Aruba #ATM17APAC

ในงาน HPE Aruba APAC Atmosphere 2017 ที่กำลังจัดขึ้นในมาเก๊าเพื่ออัปเดตเทคโนโลยีใหม่ๆ ของ HPE Aruba ให้กับเหล่าผู้ที่อยู่ในแวดวง IT Infrastructure ระดับองค์กรนี้ ทาง …