เตือนมัลแวร์ Kovter แพร่กระจายผ่านการหลอกให้โหลดอัปเดต

Proofpoint ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยชื่อดัง ออกมาแจ้งเตือนถึงแคมเปญมัลแวร์ที่อาศัยการหลอกว่าเป็นอัปเดตสำคัญจากเว็บเบราเซอร์และแฟลช เพื่อลวงให้ผู้ใช้ดาวน์โหลดมัลแวร์ Kovter มาติดตั้ง ก่อนดาวน์โหลด Ad Fraud, Ransomware และ Infostealer มาโจมตีผู้ใช้

กลุ่มแฮ็คเกอร์เจ้าของแคมเปญมัลแวร์นี้มีนามว่า KovCoreG แคมเปญดังกล่าวใช้เครือข่ายโฆษณาบน PornHub ในการนำเหยื่อไปสู่เว็บไซต์ของตน ซึ่งจะแสดงข้อความให้อัปเดตเว็บเบราเซอร์หรือแฟลช โดยข้อความที่แสดงจะแตกต่างกันไปตามประเภทของเบราเซอร์ที่เหยื่อใช้ เช่น ถ้าเป็น Chrome หรือ FireFox จะแสดงข้อความให้อัปเดตเบราเซอร์ ในขณะที่ถ้าเป็น IE หรือ Edge จะแสดงข้อความให้อัปเดตแฟลช

ถ้าเหยื่อเผลอกดดาวน์โหลดตัวอัปเดต ไฟล์ที่โหลดมาจะเป็นไฟล์ JavaScript (Chrome และ FireFox) หรือ HTA ( IE และ Edge) ที่จะทำการติดตั้ง Kovter มัลแวร์เอนกประสงค์ที่ทำหน้าที่ดาวน์โหลดมัลแวร์อื่น เช่น Ad Fraud, Ransomware, Infostealer และอื่นๆ มาติดตั้งบนเครื่องของเหยื่อต่อไป

จากการตรวจสอบพบว่าแคมเปญมัลแวร์ Kovter นี้ใช้การกรองเป้าหมายตาม ISP และพื้นที่ทางภูมิศาสตร์ โดยพุ่งเป้าโจมตีที่สหรัฐฯ สหราชอาณาจักร แคนาดา และออสเตรเลียเป็นหลัก นอกจากนี้ ในไฟล์ JavaScript และ HTA ยังมีระบบตรวจสอบว่า PC ที่ติดมัลแวร์ได้รับหมายเลข IP ตรงกับที่ได้ทำการกรองไว้ด้วยหรือไม่ เพื่อป้องกันมัลแวร์ถูกวิเคราะห์โดยนักวิจัยด้านความมั่นคงปลอดภัยจากภูมิภาคอื่นๆ

จนถึงตอนนี้ PornHub ได้ปิดโฆษณาที่ใช้แพร่กระจายมัลแวร์แล้ว แต่พบว่าแคมเปญดังกล่าวไปโผล่ที่ Yahoo แทน

ผู้ที่สนใจสามารถอ่านรายละเอียดเชิงเทคนิคได้ที่: https://www.proofpoint.com/us/threat-insight/post/kovter-group-malvertising-campaign-exposes-millions-potential-ad-fraud-malware

ที่มา: https://www.bleepingcomputer.com/news/security/malvertising-group-spreading-kovter-malware-via-fake-browser-updates/




About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เปิดตัว Cisco Integrated System for Microsoft Azure Stack พร้อมเครือข่าย 40GbE ภายใน

Cisco ได้ออกมาประกาศเปิดตัวโซลูชัน Private Cloud ร่วมกับเทคโนโลยีของ Microsoft ภายใต้โซลูชัน Cisco Integrated System for Microsoft Azure Stack พร้อมชูจุดเด่นด้านการออกแบบสถาปัตยกรรมที่เหนือกว่าผู้ผลิตรายอื่นด้วยกัน …

Red Hat ออก Patch ใหม่ ยกเลิกการแก้ไขช่องโหว่ Spectre หลังผู้ใช้งานแจ้งว่า Boot เครื่องไม่ขึ้น

หลังจากที่ก่อนหน้านี้ทาง Red Hat ได้ออก Patch แก้ไขช่องโหว่ Spectre มา ตอนนี้ทาง Red Hat ต้องออก Patch ใหม่เพื่อยกเลิก Patch …