Breaking News

ลอบส่งมัลแวร์ผ่าน Facebook CDN บายพาสระบบรักษาความมั่นคงปลอดภัย

ในช่วง 2 สัปดาห์ที่ผ่านมา นักวิจัยด้านความมั่นคงปลอดภัยหลายรายออกมาแจ้งเตือนถึงแคมเปญมัลแวร์ที่ลอบส่งเข้าเครื่องคอมพิวเตอร์ผ่านทางเครือข่าย CDN ของ Facebook ชี้แฮ็คเกอร์มีจุดประสงค์เพื่อให้ความน่าเชื่อถือของ Facebook ในการบายพาสระบบรักษาความมั่นคงปลอดภัยของคอมพิวเตอร์ผู้ใช้

กลุ่มแฮ็คเกอร์ดังกล่าวใช้ CDN ของ Facebook ในการจัดเก็บไฟล์มัลแวร์ แล้วลอบส่งเข้าเครื่องคอมพิวเตอร์ของผู้ใช้ เนื่องจากระบบรักษาความมั่นคงปลอดภัยส่วนใหญ่เชื่อว่าโดเมนของ Facebook CDN มีความมั่นคงปลอดภัยอยู่แล้ว จึงไม่มีการตรวจสอบทราฟฟิกมากนัก

แฮ็คเกอร์ลอบส่งมัลแวร์เข้าเครื่องของเหยื่อผ่านทางการปลอมแปลงอีเมล โดยหลอกผู้ใช้ว่าเป็นอีเมลทางการจากหน่วยงานท้องถิ่นพร้อมแนบลิงค์ที่มีมัลแวร์แฝงอยู่มาด้วย ซึ่งลิงค์ดังกล่าวจะชี้ไปยัง CDN Server ของ Facebook ที่แฮ็คเกอร์ได้แอบอัปโหลดมัลแวร์ไว้ล่วงหน้า ไม่ว่าจะเป็นผ่านทาง Facebook Group หรือช่องทางสาธารณะอื่นๆ บน Facebook ตัวอย่างลิงค์มัลแวร์บน Facebook CDN และอีเมลปลอมแสดงดังรูปด้านล่าง

https://cdn.fbsbx.com/v/t59.2708-21/20952350_119595195431306_4546532236425428992_n.rar/NF-DANFE_FICAL-N-5639000.rar?oh=9bb40a7aaf566c6d72fff781d027e11c&oe=59AABE4D&dl=1

เมื่อเหยื่อเผลอคลิกลิงค์ที่แนบว่า ไฟล์ RAR หรือ ZIP จะถูกโหลดลงสู่เครื่อง ซึ่งภายในจะเป็นไฟล์ลิงค์ (Shortcut) ไปยังแอพพลิเคชันทั่วๆ ไปที่พร้อมติดตั้งลงบน PC เช่น Command Prompt หรือ PowerShell สำหรับรันสคริปต์ PowerShell อันตรายที่มีการ Encode อยู่ เทคนิคการซ่อนพรางการปฏิบัติการอันตรายไว้ภายใต้แอพพลิเคชันที่ดูเหมือนไม่มีพิษมีภัยแบบนี้เรียกว่า “Squiblydoo” ซึ่งมีเป้าหมายเพื่อบายพาสซอฟต์แวร์รักษาความมั่นคงปลอดภัยที่ใช้งานทั่วไป

หลังจากที่สคริปต์ PowerShell ถูกรัน มันจะดาวน์โหลดและรันสคริปต์ PowerShell อีกอันหนึ่งเพื่อเริ่มปฏิบัติการที่ค่อนข้างสับสนงงงวย ไม่ว่าจะเป็นการดาวน์โหลดไฟล์ DDL เพื่อใช้สำหรับดาวน์โหลดไฟล์ EXE และ DLL อีกไฟล์หนึ่งเพิ่มเข้ามา การสร้างลิงค์สำหรับชี้ไปยังสคริปต์ VBS เพื่อใช้รันไฟล์ EXE ดังกล่าว ซึ่งจะโหลดไฟล์ DLL ที่เป็นมัลแวร์ต่อ เป็นต้น ระหว่างนี้ แฮ็คเกอร์จะทำการตรวจสสอบตำแหน่งเชิงภูมิศาสตร์ของเหยื่อจากหมายเลข IP ควบคู่ไปด้วย ถ้าเหยื่อไม่ได้อยู่ในกลุ่มประเทศที่เป็นเป้าหมาย คือ บราซิล การปฏิบัติการทั้งหมดก็จะถูกยกเลิกไป

สุดท้าย DLL ที่เป็นมัลแวร์จะทำการดาวน์โหลดและติดตั้ง Banload ซึ่งจะดาวน์โหลด Banking Trojan ต่อเพื่อมาใช้โจมตีเหยื่อชาวบราซิล โดยโทรจันดังกล่าว ESET ตรวจจับว่าเป็น Win32/Spy.Banker.ADYV

MalwareHunter นักวิจัยด้านความมั่นคงปลอดภัยที่ตรวจสอบการโจมตีนี้ระบุว่า เทคนิคและมัลแวร์ที่ใช้มีความซับซ้อนและแยบยลเป็นอย่างมาก อาจจะมากกว่ากลุ่มอาชญากรไซเบอร์ที่มีหน่วยงานรัฐสนับสนุนเสียอีก ซึ่งเฉพาะแคมเปญอีเมลสแปมที่ตรวจพบเมื่อวันที่ 2 กันยายนที่ผ่านมาก็มีเหยื่อเปิดอ่านมากกว่า 200,000 รายแล้ว นอกจากนี้ยังตรวจพบอีก 2 แคมเปญที่มียอดคนเปิดอีเมลรวมกันสูงถึง 70,000 – 80,000 ครั้งอีกด้วย

จนถึงตอนนี้ Facebook ได้ทราบถึงปัญหาที่เกิดขึ้นแล้ว และกำลังดำเนินการตรวจสอบและแก้ไขปัญหา

IOCs:

RAR file: 1faa46ba708e3405e7053cde872c65cc7a7d7fbf6411374eb6e977f20c160e16
DLL file: 41e463cd5d4cf20d02bb7cd23b70465480d1cd5cd3c9f8653e9f93b3a85124d8

ที่มา: https://www.bleepingcomputer.com/news/security/malware-group-uses-facebook-cdn-to-bypass-security-solutions/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

TechTalk Webinar: อนาคตของ Payment และ Data Security โดย Thales และ Planet Communications Asia

TechTalkThai ขอเรียนเชิญ CTO, CIO, CISO, IT Manager, IT Security Manager, Business Manager, Security Engineer, ผู้ดูแลระบบ IT และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "อนาคตของ Payment และ Data Security โดย Thales และ Planet Communications Asia" เพื่อทำความรู้จักกับเทคโนโลยีด้าน Payment ที่ใช้งานอยู่ในปัจจุบันและกำลังจะถูกใช้งานในอนาคต พร้อมโซลูชันสำหรับการปกป้องระบบและข้อมูลด้าน Payment ให้มีความมั่นคงปลอดภัย ในวันจันทร์ที่ 3 สิงหาคม 2020 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้

Cloudflare รับมือกับ DDoS Attack ขนาด 754 ล้านแพ็กเก็ตต่อวินาที ด้วยระบบอัตโนมัติได้อย่างไร

Cloudflare ได้ออกมาเปิดเผยว่าตนถูก DDoS Attack หลายต่อหลายครั้งช่วงปลายมิถุนายนที่ผ่านมา ซึ่งความน่าประทับใจคือระบบอัตโนมัติสามารถจัดการการโจมตีขนาดสูงสุดกว่า 754 ล้านแพ็กเก็ตต่อวินาทีได้ตลอดความพยายามหลายรูปแบบกว่า 4 วันของคนร้าย โดยที่ทีมงานไม่ได้รับการเตือนจากระบบหรือเสียงบ่นจากลูกค้าว่ามีปัญหาด้วยซ้ำ