TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
กลุ่มธุรกิจท่องเที่ยวและโรงแรมกำลังตกเป็นเป้าหมายสำคัญในช่วงฤดูกาลท่องเที่ยว ล่าสุดมีการตรวจพบแคมเปญมัลแวร์ PHALT#BLYX ที่ใช้เทคนิค Social Engineering รูปแบบใหม่ที่เรียกว่า ClickFix เพื่อหลอกให้เหยื่อรัน Code อันตรายผ่านหน้าเว็บจองที่พักปลอม
คนร้ายเริ่มต้นด้วยการส่งอีเมลฟิชชิ่งแอบอ้างเป็น Booking.com แจ้งยกเลิกการจองห้องพักพร้อมระบุยอดเงินที่ต้องชำระสูงกว่า 1,000 ยูโร เพื่อสร้างความตกใจและเร่งรัดให้เหยื่อคลิกลิงก์ เมื่อเหยื่อหลงเชื่อจะถูกนำไปยังเว็บไซต์ปลอมที่มีการจำลองหน้าจอผิดพลาด (Fake BSOD) หรือหน้าต่าง CAPTCHA ปลอม
เทคนิค ClickFix จะจูงใจให้เหยื่อทำการซ่อมแซมระบบ หรือยืนยันตัวตนด้วยการคัดลอกคำสั่ง PowerShell ที่เตรียมไว้บนหน้าเว็บ ไปวางใน Windows Run dialog เพื่อรันคำสั่งโดยตรง วิธีนี้ช่วยให้คนร้ายข้ามขั้นตอนการส่งไฟล์แนบที่มักถูกระบบความปลอดภัยบล็อกได้
ความน่าสนใจของแคมเปญนี้คือการใช้เทคนิค Living-off-the-land (LOTL) โดยเปลี่ยนจากการใช้ไฟล์ .hta แบบเดิม มาเป็นการเรียกใช้งาน MSBuild.exe ซึ่งเป็นเครื่องมือมาตรฐานของ Microsoft สำหรับการ Compile ซอฟต์แวร์
เป้าหมายสุดท้ายคือการติดตั้ง DCRat มัลแวร์ควบคุมเครื่องระยะไกลที่มีความสามารถในการดักจับการพิมพ์ และการส่ง Code ลงในโปรเซสต่าง ๆ นักวิจัยจาก Securonix พบ Debug strings ภาษาซีริลลิกฝังอยู่ในมัลแวร์ ซึ่งชี้เป้าไปที่กลุ่มแฮกเกอร์ที่พูดภาษารัสเซีย
เมื่อการโจมตีเปลี่ยนจากการใช้งานเป็นพฤติกรรมของคน องค์กรควรปรับมาตรการดังนี้
- เฝ้าระวังการเรียกใช้ MSBuild.exe ที่ผิดปกติ โดยเฉพาะการเชื่อมต่อไปยังเซิร์ฟเวอร์ภายนอกที่ไม่เกี่ยวข้องกับงานพัฒนาซอฟต์แวร์
- เพิ่มขีดความสามารถในการตรวจสอบความเชื่อมโยงระหว่างเบราว์เซอร์และการรันคำสั่ง PowerShell ในระดับ OS
- อบรมพนักงานให้ระวังเทคนิค ClickFix โดยเน้นย้ำว่าห้ามคัดลอกคำสั่งจากเบราว์เซอร์มารันในเครื่องโดยเด็ดขาด
ที่มา: https://www.infosecurity-magazine.com/news/phaltblyx-clickfix-malware/
