เตือนแคมเปญ Nigelthorn แพร่กระจายมัลแวร์ผ่าน Chrome Extensions และ Facebook

Radware บริษัทชั้นนำด้าน Application Delivery และ Security ออกมาแจ้งเตือนถึงแคมเปญมัลแวร์ “Nigelthorn” ซึ่งแพร่กระจายตัวผ่านทางการทำ Social Engineering บน Facebook และ Chrome Extension รวม 7 รายการ เพื่อหลอกขโมยรหัสผ่านและฝัง Cryptominer มีผู้ตกเป็นเหยื่อแล้วกว่า 100,000 ราย

Credit: Radware.com

แคมเปญมัลแวร์ Nigelthorn เริ่มแพร่กระจายตัวตั้งแต่เดือนมีนาคมที่ผ่านมา โดยหลอกให้ผู้ให้คลิกลิงค์ Phishing บน Facebook ซึ่งจะส่งเหยื่อไปยังเว็บไซต์ที่ดูน่าเชื่อถือ เช่น เว็บ YouTube ปลอม แล้วหลอกให้เหยื่อติดตั้ง Chrome Extension ซึ่งมีมัลแวร์แฝงอยู่ต่อ เมื่อมัลแวร์แพร่เข้าสู่เครื่องได้แล้วจะทำการขโมยข้อมูลล็อกอิน Social Media, ติดตั้ง Cryptocurrency Miner หรือโจมตีแบบ Click Fraud ต่อไป

Chrome Extensions ที่ถูกใช้ในแคมเปญ Nigelthorn มีทั้งสิ้น 7 รายการ ซึ่งแฮ็กเกอร์ได้ก็อปปี้มาจาก Extensions จริงบน Chrome Web Store แล้วทำการแทรกสคริปต์มัลแวร์ลงไป เพื่อหลอกระบบตรวจจับของ Google ส่งผลให้ Extensions ปลอมเหล่านี้เปิดให้ดาวน์โหลดผ่าน Chrome Web Store เช่นเดียวกัน

รายชื่อ Chrome Extensions ที่ใช้แพร่กระจายมัลแวร์ Nigelthorn ได้แก่

Credit: Radware.com

เมื่อเหยื่อเผลอติดตั้ง Chrome Extensions เหล่านี้ โค้ด JavaScript ของแฮ็กเกอร์จะถูกรันแล้วเปลี่ยนเครื่องของเหยื่อให้กลายเป็น Botnet โดยมีเป้าหมายเพื่อขโมยข้อมูลล็อกอิน Facebook และ Instagram ของเหยื่อ จากนั้นมัลแวร์จะพยายามส่งลิงค์ Phishing ไปยังเพื่อนที่อยู่ในรายชื่อของ Facebook เพื่อแพร่กระจายตัวเองต่อไป

นอกจากนี้ Nigelthorn ยังทำการดาวน์โหลด Browser-based Cryptocurrency Miner มาติดตั้งเพื่อขุดเหรียญ Monero, Bytecoin หรือ Electroneum สร้างรายได้ให้แก่ตนเองอีกด้วย จากรายงานพบว่า ผ่านไปเพียง 6 วัน แฮ็กเกอร์เจ้าของแคมเปญสามารถทำรายได้ได้สูงถึง $1,000 (ประมาณ 32,000 บาท)

Radware ได้รายงานแคมเปญ​ Nigelthorn ไปยัง Google ซึ่งก็ได้ทำการลบ Extensions ปลอมเหล่านี้ออกไปเรียบร้อย แนะนำให้ผู้ใช้ที่เผลอโหลด Extensions ดังกล่าวทำการถอนการติดตั้ง และเปลี่ยนรหัสผ่านของ Facebook และ Instagram ให้เรียบร้อย

รายละเอียดเชิงเทคนิค: https://blog.radware.com/security/2018/05/nigelthorn-malware-abuses-chrome-extensions/

ที่มา: https://thehackernews.com/2018/05/chrome-facebook-malware.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เตือนมัลแวร์ Roaming Mantis เริ่มพุ่งเป้า Apple iOS และ PC ทั่วโลก

หลังจากที่ Roaming Mantis ซึ่งเป็นมัลแวร์ DNS Hijacking เริ่มแพร่ระบาดเมื่อปลายเดือนเมษายนที่ผ่านมา โดยพุ่งเป้าอุปกรณ์ Android ในเขตภูมิภาคเอเชียตะวันออกเฉียงใต้ ล่าสุดพบว่าแฮ็กเกอร์เบื้องหลังมัลแวร์ได้ทำการอัปเกรดให้สามารถโจมตีอุปกรณ์ Apple iOS และ Desktop …

M.Tech กลับมาขาย Citrix อีกครั้ง เตรียมดัน NetScaler ตอบโจทย์ Multi-Cloud สำหรับองค์กร

เมื่อต้นปี 2018 ที่ผ่านมา ทาง M.Tech และ Citrix ได้ประกาศความเป็นพันธมิตรร่วมกันอีกครั้งหนึ่ง ให้ M.Tech ได้กลับมาเป็น Distributor ให้กับ Citrix และผลักดันตลาดของ …