แฮกเกอร์ส่งมัลแวร์ผ่านแอพพลิเคชั่น VLC, 7-Zip, CCleaner จากการค้นหาบน google


31 January 2566
แฮกเกอร์ส่งมัลแวร์ผ่านแอพพลิเคชั่น VLC, 7-Zip, CCleaner จากการค้นหาบน google

แฮกเกอร์กำลังสร้างเว็บไซต์ปลอมสำหรับดาวน์โหลดซอฟต์แวร์ฟรี เพื่อส่งเสริมการดาวน์โหลดที่เป็นอันตรายผ่านการค้นหาของ Google มีผู้ใช้งานที่รู้จักกันดีในวงการคริปโตเคอเรนซีตกเป็นเหยื่อของแคมเปญนี้ โดยอ้างว่าแฮกเกอร์อนุญาตให้แฮกเกอร์ขโมยสินทรัพย์ดิจิทัลทั้งหมดของพวกเขาพร้อมกับควบคุมบัญชีและข้อมูลส่วนตัวของพวกเขา และเมื่อสุดสัปดาห์ที่ผ่านมา อเล็กซ์ ผู้มีอิทธิพลด้านคริปโตหรือที่รู้จักกันดีในชื่อ NFT God ออนไลน์ของพวกเขาถูกแฮกข้อมูล หลังจากเปิดตัวปฏิบัติการปลอมสำหรับการบันทึกวิดีโอ Open Broadcaster Software (OBS) และซอฟต์แวร์สตรีมมิงที่พวกเขาดาวน์โหลดจาก Google อเล็กซ์กล่าวว่าไม่รู้จักมัลแวร์ประเภทนี้ น่าจะเป็นมัลแวร์ขโมยข้อมูลที่ขโมยรหัสผ่านบนเบราว์เซอร์ คุกกี้ โทเค็น Discord และกระเป๋าเงินดิจิทัลที่บันทึกไว้และส่งไปยังผู้โจมตี อเล็กซ์ก็พบว่าบัญชีของพวกเขาที่ตลาด OpenSea NFT ก็ถูกบุกรุกเช่นกัน และกระเป๋าเงินอีกเจ้าในสินทรัพย์ดิจิทัลของพวกเขา และในไม่ช้าอเล็กซ์ ก็ค้นพบว่ากระเป๋าเงินอิเล็กทรนิกส์ของ Substack, Gmail, Discord และ cryptocurrency ของพวกเขาประสบชะตากรรมเดียวกันและถูกควบคุมโดยแฮกเกอร์ นี่อาจจะไม่ใช่อุบายใหม่

แต่ดูเหมือนว่าผู้คุกคามจะใช้มันบ่อยกว่า ในเดือนตุลาคมปีที่แล้ว Bleeping Computer ได้รายงานเกี่ยวกับแคมเปญขนาดใหญ่ที่อาศัยชื่อโดเมนมากกว่า 200 แบรนด์จาก 20 แบรนด์เพื่อให้ผู้ใช้งานเข้าใจผิด วิธีการเผยแพร่ยังไม่ทราบในเวลานั้น แต่รายงานได้แยกออมาในเดือนธันวาคมจากบริษัทด้านความปลอดภัยทางไซเบอร์ Trend Micro และ Guardio เปิดเผยว่าแฮ็กเกอร์ใช้แพลตฟอร์ม Google Ads ในทางที่ผิดเพื่อผลักดันการดาวน์โหลดที่เป็นอันตรายในผลการค้นหา ตามที่เบาะแสของ NFT God Bleeping Computer ได้ทำการวิจัยของตนเองและพบว่า OBS เป็นหนึ่งในซอฟต์แวร์จำนวนมากที่ผู้คุกคามปลอมตัวเพื่อส่งการดาวน์โหลดที่เป็นอันตรายในผลการค้นหาของ Google ตัวอย่างหนึ่งที่เราพบคือผลการค้นหา Google สำหรับ Rufus ซึ่งเป็นลูกเล่นฟรีสำหรับสร้างแฟลชไดรฟ์ USB ที่สามารถบู๊ตได้ ผู้ที่ก่อภัยคุกคามจดทะเบียนโดเมนที่คล้ายกับโดเมนที่เป็นทางการและคัดลอกส่วนหลักของเว็บไซต์ที่ถูกต้องไปยังส่วนดาวน์โหลด ในกรณีนี้ พวกเขาใช้โดเมนระดับสูงสุด “pro,” ซึ่งทำให้เกิดความสนใจของเหยื่อและดึงดูดด้วยชุดฟีเจอร์โปรแกรมที่กว้างขึ้น  ไม่มี Rufus เวอร์ชันอื่น แต่มีเพียงรุ่นเดียวที่พร้อมใช้งานในรูปแบบการติดตั้งหรือแบบพกพาที่โฮสต์บน GitHub สำหรับเวอร์ชันที่เป็นอันตราย การดาวน์โหลดจะไปที่บริการถ่ายโอนไฟล์ เนื่องจากเป็นที่เก็บถาวร เครื่องมือป้องกันไวรัสจำนวนมากจึงตรวจไม่พบว่าเป็นภัยคุกคาม โปรแกรมยอดนิยมอีกโปรแกรมหนึ่งที่เลียนแบบคือโปรแกรมแก้ไขข้อความและซอร์สโค้ด Notepad++ ผู้คุกคามใช้การพิมพ์เพื่อสร้างโดเมนที่คล้ายกับโดเมนที่ถูกต้องจากผู้พัฒนาอย่างเป็นทางการ Will Dormann

นักวิจัยด้านความปลอดภัยพบว่าการดาวน์โหลด Notepad++ ปลอมในการค้นหาโดย Google นั้นจาก URL เพิ่มเติม ไฟล์ทั้งหมดถูกทำเครื่องหมายว่าเป็นอันตรายโดยเครื่องมือป้องกันไวรัส (AV) ต่างๆ บนแพลตฟอร์มการสแกน Virus Total และทาง Bleeping Computer ยังพบเว็บไซต์ที่เต็มไปด้วยการดาวน์โหลดซอฟต์แวร์ปลอมที่เผยแพร่ผ่านผลการค้นหาของ Google Ads เท่านั้น เว็บไซต์ปลอมตัวเป็นบริษัทออกแบบเว็บไซต์ที่ถูกต้องตามกฎหมายในอินเดียชื่อ Zensoft Tech แต่เป็นที่น่าเสียดายที่เราไม่สามารถตรวจสอบได้ว่าการดาวน์โหลดเป็นอันตรายหรือไม่ แต่เนื่องจากชื่อโดเมนเป็น URL ที่สะกดผิดเว็บไซต์นี้บล็อกเครื่องมือค้นหาไม่ให้จัดทำดัชนีเนื้อหาและส่งเสริมการดาวน์โหลดผ่านโฆษณาในผลการค้นหาเท่านั้นดังนั้นจึงเห็นได้ชัดว่ามีกิจกรรมที่เป็นอันตราย ซอฟต์แวร์ที่เราพบบนเว็บไซต์รวมถึงการบีบอัดไฟล์ 7-ZIP และ WinRAR และโปรแกรมเล่นสื่อ VLC ที่ใช้กันอย่างแพร่หลาย จากโดเมนอื่น ผู้คุกคามได้จัดเตรียมยูทิลิตี้ CCleaner

เวอร์ชันที่เป็นอันตรายสำหรับการลบไฟล์ที่อาจไม่ต้องการและรายการ Windows Registry ที่ไม่ถูกต้อง และดูเหมือนว่าแฮกเกอร์พยายามที่จะเสนอราคาสูงกว่าผู้พัฒนาที่ถูกต้องตามกฎหมาย และทำให้การค้นหาของพวกเขาอยู่ในตำแหน่งบนสุด ดังที่เห็นในภาพด้านล่าง เว็บไซต์อย่างเป็นทางการของ CCleaner จะแสดงภายใต้การค้นหาที่เป็นอันตราย ไซต์นี้นำเสนอไฟล์ CCleaner.zip ที่ติดตั้งมัลแวร์ขโมยข้อมูล Redline ผู้เชี่ยวชาญด้านความปลอดภัยหลายท่าน ได้เปิดเผย URL เพิ่มเติมที่โฮสต์การดาวน์โหลดที่เป็นอันตรายซึ่งแอบอ้างเป็นซอฟต์แวร์ฟรีและโอเพ่นซอร์ส เป็นการยืนยันว่าการล่อลวงผู้ใช้งานผ่านผลการค้นหาที่สนับสนุนในการค้นหาของ Google เป็นวิธีการทั่วไปสำหรับอาชญากรไซเบอร์ การใช้โฆษณาของสปอนเซอร์ในผลการค้นหาเป็นช่องทางการส่งมัลแวร์ได้รับการแจ้งโดย FBI ในการแจ้งเตือนเมื่อปีที่แล้ว ทางหน่วยงานได้ออกมาเตือนว่า “โฆษณาเหล่านี้ปรากฏที่ด้านบนสุดของผลการค้นหาโดยมีความแตกต่างน้อยที่สุดระหว่างการค้นหาปลอมกับผลการค้นหาจริง” และเชื่อมโยงไปยังเว็บไซต์ที่ “ดูเหมือนกับหน้าเว็บอย่างเป็นทางการของธุรกิจที่แอบอ้าง” ด้วยเหตุนี้ อาชญากรไซเบอร์จึงมีโอกาสที่ดีกว่าในการแพร่กระจายมัลแวร์ไปยังกลุ่มผู้ใช้ที่ไม่สงสัย การตรวจสอบ URL ของแหล่งที่มาของการดาวน์โหลดเป็นคำแนะนำที่ดีเสมอ ควบคู่ไปกับการใช้ ad-blocker เพื่อป้องกันภัยคุกคามประเภทนี้ ตัวบล็อกโฆษณามีให้ใช้งานเป็นส่วนขยายในเว็บเบราว์เซอร์ส่วนใหญ่ และตามชื่อที่บอกไว้ ตัวบล็อกโฆษณาจะหยุดโหลดและแสดงโฆษณาบนหน้าเว็บ รวมถึงผลการค้นหาด้วย นอกเหนือจากการเพิ่มความสะดวกสบายในการใช้อินเทอร์เน็ตแล้ว ตัวบล็อกโฆษณายังเพิ่มความเป็นส่วนตัวด้วยการป้องกันไม่ให้คุกกี้ติดตามในโฆษณารวบรวมข้อมูลเกี่ยวกับพฤติกรรมการท่องเว็บ อย่างไรก็ตาม ในกรณีนี้ ส่วนขยายดังกล่าวอาจสร้างความแตกต่างระหว่างการสูญเสียการเข้าถึงข้อมูลที่ละเอียดอ่อนหรือบัญชีออนไลน์ของคุณได้