ระวังภัยเงียบ! Kaspersky เตือนมัลแวร์ระบาดบน WhatsApp หลอกส่งไฟล์ ใบแจ้งหนี้ปลอม แฝงสคริปต์ VBScript หวังเจาะระบบควบคุมคอมพิวเตอร์จากระยะไกล
ลบภาพจำเก่า ๆ ที่ว่ามัลแวร์จะมากับลิงก์สแปมจากคนแปลกหน้า เพราะรอบนี้แฮกเกอร์มาเหนือกว่านั้นด้วยการใช้ความไว้ใจ เป็นอาวุธ ล่าสุดทีมวิจัยและวิเคราะห์ระดับโลกของแคสเปอร์สกี้ (ทีม GReAT) เพิ่งตรวจพบแคมเปญไซเบอร์ระบาดครั้งใหญ่ มุ่งเป้าโจมตีผู้ใช้ WhatsApp บนเดสก์ท็อปและ WhatsApp Web โดยเฉพาะ
รอบนี้กลุ่มเหยื่อหลักอยู่ในภูมิภาคเอเชียตะวันออกเฉียงใต้ นำโดยมาเลเซีย (พบผู้ตกเป็นเหยื่อมากที่สุด) ตามด้วยสิงคโปร์ ไต้หวัน เวียดนาม บราซิล รวมถึงลามไปถึงฝั่งยุโรปด้วย
แผนเหนือชั้นคือแฮกบัญชีเพื่อน แล้วส่งต่อความร้ายกาจไปเรื่อย ๆ
กลยุทธ์วิศวกรรมสังคมในแคมเปญนี้แสบสันมาก แฮกเกอร์จะไม่ใช้บัญชีอวตารทักมา แต่จะใช้ บัญชี WhatsApp จริงที่ถูกแฮกมาก่อนหน้านี้ ส่งข้อความหาเหยื่อรายต่อไป ซึ่งก็คือคนในรายชื่อผู้ติดต่อของบัญชีนั้น ๆ
ลองจินตนาการว่าถ้าเพื่อนร่วมงานหรือคู่ค้าของเราส่งไฟล์ที่ชื่อว่า ใบแจ้งหนี้ “ใบแจ้งยอดบัญชีธนาคาร หรือ หนังสือเตือนหนี้ มาให้ในแชตส่วนตัว ร้อยทั้งร้อยแทบจะไม่ระแวงและกดเปิดดูทันที แถมแฮกเกอร์ยังทำการบ้านมาดี แปลชื่อไฟล์เป็นหลากภาษา ทั้งอังกฤษ โปรตุเกส ฝรั่งเศส เยอรมัน และมาเลย์ เพื่อให้เนียนไปกับบริบทของแต่ละประเทศมากที่สุด
ไฟล์แนบที่ส่งมานั้นไม่ใช่ PDF หรือรูปภาพทั่วไป แต่เป็นไฟล์ VBScript ที่แฝงโค้ดอันตราย แถมเขียนข้อมูลเมตาตบตาเครื่องคอมพิวเตอร์ว่ามันคือ ตัวอัปเดตของ Microsoft Windows เมื่อเหยื่อหลงกลกดเปิดไฟล์ มัลแวร์ก็เริ่มทำงานทันที โดยเริ่มจาก
1.สร้างรังลับ สคริปต์ตัวแรกจะเข้าไปสร้างโฟลเดอร์ทำงานเงียบ ๆ ใต้พาธ C:\Users\Public\Documents\
2.เรียกพวก ใช้เครื่องมือระบบอย่าง Windows Script Host ดึงสคริปต์ตัวอื่น ๆ จากเซิร์ฟเวอร์ภายนอกเข้ามาเพิ่ม
3.ยึดเครื่อง ดาวน์โหลดไฟล์บีบอัด (ZIP) ซึ่งภายในบรรจุแพ็กเกจติดตั้งซอฟต์แวร์ตรวจสอบและจัดการระยะไกล (RMM)
ผลลัพธ์คือคือ แฮกเกอร์จะสามารถเข้าถึงและควบคุมระบบคอมพิวเตอร์ของเราจากระยะไกลได้ทันที โดยใช้เครื่องมือดูแลระบบไอทีมาตรฐานที่ดูถูกกฎหมาย ทำให้ระบบรักษาความปลอดภัยทั่วไปตรวจจับได้ยากมาก
ฟารีด แรดซี (Farid Radzee) นักวิจัยด้านความปลอดภัยจากทีม GReAT ของแคสเปอร์สกี้ สรุปให้เห็นภาพชัด ๆ ว่า แฮกเกอร์ฉวยโอกาสจากความเชื่อใจในแชตส่วนตัว ปลอมแปลงไฟล์ให้เหมือนเอกสารธุรกิจทั่วไป เมื่อเหยื่อเปิดไฟล์ มันจะดึงมัลแวร์อันตรายจากภายนอกเข้ามาทำงานเบื้องหลังอย่างเงียบๆ
คาถาเอาตัวรอด เช็กให้ชัวร์ก่อนกดดาวน์โหลด
– เอะใจไว้ก่อน หรือภาษาธุรกิจเรียก Zero Trust โดยต่อให้เป็นแชตจากเพื่อนสนิทหรือหัวหน้างาน ถ้าอยู่ ๆ มีการส่งไฟล์เอกสารมาแบบไม่มีปี่มีขลุ่ย ให้ทักถามช่องทางอื่นซ้ำอีกครั้งเพื่อยืนยันว่าเขาเป็นคนส่งจริง ๆ
– แบนนามสกุลไฟล์อันตราย โดยห้ามเปิดไฟล์สคริปต์หรือไฟล์รันระบบเด็ดขาด โดยเฉพาะไฟล์ที่ลงท้ายด้วย .vbs, .vbe, .exe, .bat, .cmd, .js และ .ps1 นอกเสียจากว่าจะได้รับการตรวจสอบอย่างละเอียดแล้ว
– ตั้งการ์ดให้ระบบ ติดตั้งแอนตี้ไวรัส และหมั่นอัปเดตอยู่เสมอ เพื่อให้ระบบช่วยสแกน บล็อกสคริปต์ และแจ้งเตือนก่อนที่มัลแวร์จะทันได้ฝังตัว
ที่มา จดหมายข่าว Kaspersky
