เตือนมัลแวร์ Kovter แพร่กระจายผ่านการหลอกให้โหลดอัปเดต

Proofpoint ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยชื่อดัง ออกมาแจ้งเตือนถึงแคมเปญมัลแวร์ที่อาศัยการหลอกว่าเป็นอัปเดตสำคัญจากเว็บเบราเซอร์และแฟลช เพื่อลวงให้ผู้ใช้ดาวน์โหลดมัลแวร์ Kovter มาติดตั้ง ก่อนดาวน์โหลด Ad Fraud, Ransomware และ Infostealer มาโจมตีผู้ใช้

กลุ่มแฮ็คเกอร์เจ้าของแคมเปญมัลแวร์นี้มีนามว่า KovCoreG แคมเปญดังกล่าวใช้เครือข่ายโฆษณาบน PornHub ในการนำเหยื่อไปสู่เว็บไซต์ของตน ซึ่งจะแสดงข้อความให้อัปเดตเว็บเบราเซอร์หรือแฟลช โดยข้อความที่แสดงจะแตกต่างกันไปตามประเภทของเบราเซอร์ที่เหยื่อใช้ เช่น ถ้าเป็น Chrome หรือ FireFox จะแสดงข้อความให้อัปเดตเบราเซอร์ ในขณะที่ถ้าเป็น IE หรือ Edge จะแสดงข้อความให้อัปเดตแฟลช

ถ้าเหยื่อเผลอกดดาวน์โหลดตัวอัปเดต ไฟล์ที่โหลดมาจะเป็นไฟล์ JavaScript (Chrome และ FireFox) หรือ HTA ( IE และ Edge) ที่จะทำการติดตั้ง Kovter มัลแวร์เอนกประสงค์ที่ทำหน้าที่ดาวน์โหลดมัลแวร์อื่น เช่น Ad Fraud, Ransomware, Infostealer และอื่นๆ มาติดตั้งบนเครื่องของเหยื่อต่อไป

จากการตรวจสอบพบว่าแคมเปญมัลแวร์ Kovter นี้ใช้การกรองเป้าหมายตาม ISP และพื้นที่ทางภูมิศาสตร์ โดยพุ่งเป้าโจมตีที่สหรัฐฯ สหราชอาณาจักร แคนาดา และออสเตรเลียเป็นหลัก นอกจากนี้ ในไฟล์ JavaScript และ HTA ยังมีระบบตรวจสอบว่า PC ที่ติดมัลแวร์ได้รับหมายเลข IP ตรงกับที่ได้ทำการกรองไว้ด้วยหรือไม่ เพื่อป้องกันมัลแวร์ถูกวิเคราะห์โดยนักวิจัยด้านความมั่นคงปลอดภัยจากภูมิภาคอื่นๆ

จนถึงตอนนี้ PornHub ได้ปิดโฆษณาที่ใช้แพร่กระจายมัลแวร์แล้ว แต่พบว่าแคมเปญดังกล่าวไปโผล่ที่ Yahoo แทน

ผู้ที่สนใจสามารถอ่านรายละเอียดเชิงเทคนิคได้ที่: https://www.proofpoint.com/us/threat-insight/post/kovter-group-malvertising-campaign-exposes-millions-potential-ad-fraud-malware

ที่มา: https://www.bleepingcomputer.com/news/security/malvertising-group-spreading-kovter-malware-via-fake-browser-updates/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Google เพิ่มความสามารถ Password Manager

Google ประกาศเพิ่มความสามารถ Password Manager เพิ่มความปลอดภัยและความสะดวกสบาย

ผลิตภัณฑ์ระดับองค์กรของ GIGABYTE รองรับโปรเซสเซอร์ AMD Ryzen Threadripper PRO 5000WX Series

GIGABYTE Technology (TWSE: 2376) ผู้นำในอุตสาหกรรมเซิร์ฟเวอร์และเวิร์กสเตชันประสิทธิภาพสูง ประกาศสนับสนุนโปรเซสเซอร์ AMD Ryzen Threadripper PRO 5000WX Series บนเมนบอร์ด GIGABYTE MC62-G40 …