ลอบส่งมัลแวร์ผ่าน Facebook CDN บายพาสระบบรักษาความมั่นคงปลอดภัย

ในช่วง 2 สัปดาห์ที่ผ่านมา นักวิจัยด้านความมั่นคงปลอดภัยหลายรายออกมาแจ้งเตือนถึงแคมเปญมัลแวร์ที่ลอบส่งเข้าเครื่องคอมพิวเตอร์ผ่านทางเครือข่าย CDN ของ Facebook ชี้แฮ็คเกอร์มีจุดประสงค์เพื่อให้ความน่าเชื่อถือของ Facebook ในการบายพาสระบบรักษาความมั่นคงปลอดภัยของคอมพิวเตอร์ผู้ใช้

กลุ่มแฮ็คเกอร์ดังกล่าวใช้ CDN ของ Facebook ในการจัดเก็บไฟล์มัลแวร์ แล้วลอบส่งเข้าเครื่องคอมพิวเตอร์ของผู้ใช้ เนื่องจากระบบรักษาความมั่นคงปลอดภัยส่วนใหญ่เชื่อว่าโดเมนของ Facebook CDN มีความมั่นคงปลอดภัยอยู่แล้ว จึงไม่มีการตรวจสอบทราฟฟิกมากนัก

แฮ็คเกอร์ลอบส่งมัลแวร์เข้าเครื่องของเหยื่อผ่านทางการปลอมแปลงอีเมล โดยหลอกผู้ใช้ว่าเป็นอีเมลทางการจากหน่วยงานท้องถิ่นพร้อมแนบลิงค์ที่มีมัลแวร์แฝงอยู่มาด้วย ซึ่งลิงค์ดังกล่าวจะชี้ไปยัง CDN Server ของ Facebook ที่แฮ็คเกอร์ได้แอบอัปโหลดมัลแวร์ไว้ล่วงหน้า ไม่ว่าจะเป็นผ่านทาง Facebook Group หรือช่องทางสาธารณะอื่นๆ บน Facebook ตัวอย่างลิงค์มัลแวร์บน Facebook CDN และอีเมลปลอมแสดงดังรูปด้านล่าง

https://cdn.fbsbx.com/v/t59.2708-21/20952350_119595195431306_4546532236425428992_n.rar/NF-DANFE_FICAL-N-5639000.rar?oh=9bb40a7aaf566c6d72fff781d027e11c&oe=59AABE4D&dl=1

เมื่อเหยื่อเผลอคลิกลิงค์ที่แนบว่า ไฟล์ RAR หรือ ZIP จะถูกโหลดลงสู่เครื่อง ซึ่งภายในจะเป็นไฟล์ลิงค์ (Shortcut) ไปยังแอพพลิเคชันทั่วๆ ไปที่พร้อมติดตั้งลงบน PC เช่น Command Prompt หรือ PowerShell สำหรับรันสคริปต์ PowerShell อันตรายที่มีการ Encode อยู่ เทคนิคการซ่อนพรางการปฏิบัติการอันตรายไว้ภายใต้แอพพลิเคชันที่ดูเหมือนไม่มีพิษมีภัยแบบนี้เรียกว่า “Squiblydoo” ซึ่งมีเป้าหมายเพื่อบายพาสซอฟต์แวร์รักษาความมั่นคงปลอดภัยที่ใช้งานทั่วไป

หลังจากที่สคริปต์ PowerShell ถูกรัน มันจะดาวน์โหลดและรันสคริปต์ PowerShell อีกอันหนึ่งเพื่อเริ่มปฏิบัติการที่ค่อนข้างสับสนงงงวย ไม่ว่าจะเป็นการดาวน์โหลดไฟล์ DDL เพื่อใช้สำหรับดาวน์โหลดไฟล์ EXE และ DLL อีกไฟล์หนึ่งเพิ่มเข้ามา การสร้างลิงค์สำหรับชี้ไปยังสคริปต์ VBS เพื่อใช้รันไฟล์ EXE ดังกล่าว ซึ่งจะโหลดไฟล์ DLL ที่เป็นมัลแวร์ต่อ เป็นต้น ระหว่างนี้ แฮ็คเกอร์จะทำการตรวจสสอบตำแหน่งเชิงภูมิศาสตร์ของเหยื่อจากหมายเลข IP ควบคู่ไปด้วย ถ้าเหยื่อไม่ได้อยู่ในกลุ่มประเทศที่เป็นเป้าหมาย คือ บราซิล การปฏิบัติการทั้งหมดก็จะถูกยกเลิกไป

สุดท้าย DLL ที่เป็นมัลแวร์จะทำการดาวน์โหลดและติดตั้ง Banload ซึ่งจะดาวน์โหลด Banking Trojan ต่อเพื่อมาใช้โจมตีเหยื่อชาวบราซิล โดยโทรจันดังกล่าว ESET ตรวจจับว่าเป็น Win32/Spy.Banker.ADYV

MalwareHunter นักวิจัยด้านความมั่นคงปลอดภัยที่ตรวจสอบการโจมตีนี้ระบุว่า เทคนิคและมัลแวร์ที่ใช้มีความซับซ้อนและแยบยลเป็นอย่างมาก อาจจะมากกว่ากลุ่มอาชญากรไซเบอร์ที่มีหน่วยงานรัฐสนับสนุนเสียอีก ซึ่งเฉพาะแคมเปญอีเมลสแปมที่ตรวจพบเมื่อวันที่ 2 กันยายนที่ผ่านมาก็มีเหยื่อเปิดอ่านมากกว่า 200,000 รายแล้ว นอกจากนี้ยังตรวจพบอีก 2 แคมเปญที่มียอดคนเปิดอีเมลรวมกันสูงถึง 70,000 – 80,000 ครั้งอีกด้วย

จนถึงตอนนี้ Facebook ได้ทราบถึงปัญหาที่เกิดขึ้นแล้ว และกำลังดำเนินการตรวจสอบและแก้ไขปัญหา

IOCs:

RAR file: 1faa46ba708e3405e7053cde872c65cc7a7d7fbf6411374eb6e977f20c160e16
DLL file: 41e463cd5d4cf20d02bb7cd23b70465480d1cd5cd3c9f8653e9f93b3a85124d8

ที่มา: https://www.bleepingcomputer.com/news/security/malware-group-uses-facebook-cdn-to-bypass-security-solutions/




About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

นักวิจัยสามารถทำการโจมตีแบบ GPS Spoofing ได้สำเร็จกับระบบนำทาง

นักวิจัยจากมหาวิทยาลัย Virginia Tech, มหาวิทยาลัย Electronic Science และ Technology of China และทีมวิจัยของ Microsoft ได้ร่วมกันค้นพบวิธีการโจมตีแบบ GPS Spoofing …

GitHub ประกาศรองรับการตรวจช่องโหว่ในโค้ดภาษา Python แล้ว

GitHub ได้ออกมาประกาศรองรับการตรวจสอบช่องโหว่ที่ปรากฏบนโค้ดภาษา Python เรียบร้อยแล้ว