เมื่อเร็วๆ นี้ ทหารผ่านศึกของสหรัฐฯ ถูกรบกวนโดยเว็บไซต์ปลอมที่ปลอมตัวเป็นองค์กรที่เสนองานให้กับพวกเขา โชคดีที่พวกเขาหลายคนค้นพบความจริงเกี่ยวกับเรื่องนี้และตระหนักว่ามันถูกสร้างขึ้นเพื่อจุดประสงค์เดียวในการกระจายมัลแวร์ที่ช่วยให้ผู้โจมตีสามารถควบคุมคอมพิวเตอร์ของเหยื่อได้อย่างสมบูรณ์
นักวิจัยจาก Cisco Talos Group ระบุว่าองค์กรเรียกตัวเองว่า Hire Military Heroes หรือ HMH เมื่อทหารผ่านศึกเยี่ยมชมไซต์ จะโน้มน้าวให้พวกเขาดาวน์โหลดแอปพลิเคชันเดสก์ท็อปที่โฆษณาเพื่อช่วยแสวงหาโอกาสในการทำงาน
Cisco Talos Group เน้นย้ำว่าผู้สร้างและผู้โจมตีที่อยู่เบื้องหลังเว็บไซต์นี้คือกระดองเต่า เป็นผู้โจมตีรายใหม่ที่กำหนดเป้าหมายบริษัทไอทีหลายแห่งเพื่อเรียกค้นฐานข้อมูลลูกค้า
กลุ่มกล่าวเพิ่มเติมว่า “นี่เป็นเพียงการกระทำล่าสุดของ Tortoiseshell การวิจัยก่อนหน้านี้แสดงให้เห็นว่านักแสดงอยู่เบื้องหลังผู้โจมตีผู้ให้บริการไอทีในซาอุดิอาระเบีย สำหรับแคมเปญนี้ที่ Talos ติดตามอยู่ Tortoiseshell ใช้แบ็คดอร์แบบเดียวกับที่เคยทำในอดีต ซึ่งแสดงให้เห็นว่าพวกเขากำลังใช้กลวิธี เทคนิค และขั้นตอนเดียวกัน (TTP)”
เว็บไซต์จ้างทหารผ่านศึกปลอมนี้แพร่กระจายมัลแวร์ได้อย่างไร
เห็นได้ชัดว่ามัลแวร์มุ่งเป้าไปที่ทหารผ่านศึกของสหรัฐฯ ดังนั้น หากพวกเขาไม่มีความชำนาญด้านเทคโนโลยีหรือไม่ทราบว่าเว็บไซต์จ้างทหารผ่านศึกปลอมนี้มีมัลแวร์ พวกเขาจะถูกล่อให้ทำในสิ่งที่ถูกถามอย่างรวดเร็ว
นี่คือวิธีการทำงาน เมื่อพวกเขาเยี่ยมชมไซต์ พวกเขาจะได้รับแจ้งให้ดาวน์โหลดโปรแกรมสำหรับอุปกรณ์ของตน สำหรับคอมพิวเตอร์ Windows มัลแวร์มาในไฟล์ zip ที่มีโปรแกรมชื่อ win10.exe
เมื่อโปรแกรมเปิดตัว หน้าจอโหลดขนาดเล็กจะปรากฏขึ้นโดยระบุว่า “จ้างฮีโร่ทหารเป็นทรัพยากรใหม่สำหรับการจ้างกองกำลังติดอาวุธ” กำลังพยายามโน้มน้าวเหยื่อว่ากำลังเชื่อมต่อกับฐานข้อมูลอยู่
ความจริงก็คือในขณะที่หน้าจอกำลังแสดง มัลแวร์กำลังดาวน์โหลดเอนทิตีมัลแวร์อื่นอีกสองรายการและบันทึกลงในคอมพิวเตอร์
หลังจากนั้น จะมีการแจ้งเตือนบนหน้าจอว่า “โซลูชันความปลอดภัยของคุณกำลังยุติการเชื่อมต่อกับเซิร์ฟเวอร์ของเรา” การแจ้งเตือนปลอมจะแสดงขึ้นเพื่อให้โปรแกรมปรากฏว่าปลอดภัยและถูกต้องตามกฎหมายเท่านั้น
ณ จุดนี้ มีการดาวน์โหลดเอนทิตีมัลแวร์สองรายการแล้วและกำลังทำงานอยู่เบื้องหลัง มัลแวร์ตัวแรกถูกสร้างขึ้นเพื่อรวบรวมข้อมูลเกี่ยวกับเหยื่อและคอมพิวเตอร์ ในขณะที่อีกมัลแวร์หนึ่งรันคำสั่งทั้งหมดที่ได้รับจากผู้โจมตี
มัลแวร์รวบรวมข้อมูลผู้ใช้อย่างไร
เอนทิตีมัลแวร์แรกที่ดาวน์โหลดจะเรียกใช้คำสั่งทั้งหมด 111 คำสั่ง ทั้งหมดนี้มีจุดประสงค์เพื่อรวบรวมข้อมูลทุกอย่างเกี่ยวกับเหยื่อและคอมพิวเตอร์
เมื่อดำเนินการแล้ว คำสั่งจะแสดงรายการไฟล์ทั้งหมดที่มีอยู่ในคอมพิวเตอร์ ข้อมูลเกี่ยวกับไดรฟ์ กระบวนการทำงานทั้งหมด ข้อมูลเครือข่ายที่เป็นประโยชน์ การแชร์เครือข่ายทั้งหมด ข้อมูลไฟร์วอลล์ บัญชีผู้ใช้ที่มีอยู่ที่กำหนดค่าบนอุปกรณ์ และรายละเอียดอื่น ๆ .
หลังจากรวบรวมข้อมูลทั้งหมดแล้ว ทุกอย่างจะถูกบันทึกลงในไฟล์ชื่อ %Temp%\si.cab จากนั้นจะถูกส่งกลับไปยังผู้โจมตีโดยใช้ข้อมูลรับรองอีเมล Gmail ของเหยื่อ
มัลแวร์ดำเนินการคำสั่งที่ส่งโดยผู้โจมตีอย่างไร
ดังที่ได้กล่าวมาแล้ว มีมัลแวร์สองตัวที่ดาวน์โหลดลงในคอมพิวเตอร์ของเหยื่อ อันแรกจะรวบรวมข้อมูล ในขณะที่อันที่สองจะดำเนินการตามคำสั่งที่ผู้โจมตีส่งมา
เอนทิตีมัลแวร์ที่สองอยู่ในรูปแบบของโทรจันการเข้าถึงระยะไกล จะถูกติดตั้งเป็นบริการ Windows และมีชื่อว่า dllhost เนื่องจากได้รับการกำหนดค่าให้เริ่มทำงานโดยอัตโนมัติ จึงควรทำงานทุกครั้งที่ Windows เริ่มทำงาน
เมื่อเปิดใช้งาน โทรจันจะสื่อสารกลับไปยังผู้สร้างและควบคุมเซิร์ฟเวอร์ มัลแวร์ได้รับคำสั่งให้อัปโหลดไฟล์ ยุติบริการ หรือแม้แต่ดำเนินการคำสั่งอื่นๆ ผ่านเซิร์ฟเวอร์เหล่านี้
จนถึงขณะนี้ยังไม่ทราบวิธีการกระจายมัลแวร์ นักวิจัยยังกล่าวอีกว่า “ในขณะที่ตีพิมพ์ เราไม่มีวิธีการแจกจ่าย และเราไม่มีหลักฐานว่ามีอยู่ในป่า ความซับซ้อนมีระดับต่ำ เนื่องจากไบนารีของ .NET ที่ใช้มีความสามารถ OPSEC ที่ไม่ดี เช่น ข้อมูลประจำตัวแบบฮาร์ดโค้ด แต่จากนั้นก็ใช้เทคนิคขั้นสูงอื่นๆ โดยการทำให้มัลแวร์เป็นแบบโมดูล และตระหนักว่าเหยื่อได้ใช้งานแล้ว”
พวกเขายังกล่าวเสริมว่า “มีความเป็นไปได้ที่หลายทีมจาก APT ทำงานกับองค์ประกอบหลายอย่างของมัลแวร์นี้ เนื่องจากเราสามารถเห็นความซับซ้อนในระดับหนึ่งที่มีอยู่และระดับต่างๆ ของเหยื่อวิทยา”
เคล็ดลับการป้องกันมัลแวร์
หากคุณต้องการให้คอมพิวเตอร์ของคุณได้รับการปกป้องจากมัลแวร์ คุณควรดำเนินมาตรการป้องกัน ต่อไปนี้คือเคล็ดลับที่มีประโยชน์บางประการที่ควรคำนึงถึง:
เคล็ดลับ #1:ติดตั้งซอฟต์แวร์ป้องกันมัลแวร์
นี่อาจดูเหมือนเป็นเคล็ดลับที่ชัดเจน แต่หลายคนชอบที่จะเพิกเฉย ใช่ คอมพิวเตอร์ของคุณอาจมีการป้องกันมัลแวร์ในตัวอยู่แล้ว อย่างไรก็ตาม คุณไม่สามารถมั่นใจได้เลยว่า เราขอแนะนำให้คุณติดตั้งซอฟต์แวร์ป้องกันมัลแวร์ของบริษัทอื่นที่เชื่อถือได้บนคอมพิวเตอร์ของคุณเพื่อยกระดับความปลอดภัยไปอีกระดับ หลังจากติดตั้งเครื่องมือป้องกันมัลแวร์แล้ว ขั้นตอนต่อไปของคุณคือทำให้แน่ใจว่าระบบปฏิบัติการของคุณเป็นเวอร์ชันล่าสุด
เคล็ดลับ #2:อัปเดตระบบปฏิบัติการของคุณอยู่เสมอ
ไม่ว่าคุณจะใช้ macOS, Linux หรือ Windows การอัปเดตอยู่เสมอเป็นหน้าที่ของคุณ นักพัฒนาระบบปฏิบัติการของคุณกำลังทำงานอยู่เสมอเพื่อเผยแพร่แพตช์ความปลอดภัยที่มีเป้าหมายเพื่อแก้ไขจุดบกพร่องและปัญหาที่รายงานก่อนหน้านี้
เคล็ดลับ #3:ตรวจสอบให้แน่ใจว่าเครือข่ายของคุณปลอดภัย
เราทุกคนใช้คอมพิวเตอร์เพื่อเชื่อมต่อกับเครื่องพิมพ์ คอมพิวเตอร์เครื่องอื่นๆ และแน่นอน อินเทอร์เน็ต ตรวจสอบให้แน่ใจว่าการเชื่อมต่อทั้งหมดของคุณปลอดภัยต้องใช้รหัสผ่านที่รัดกุม
นอกจากนี้ หากเป็นไปได้ อย่าเผยแพร่เครือข่าย WiFi แบบเปิด เหมาะอย่างยิ่งที่จะใช้การเข้ารหัส WPA หรือ WPA2 เนื่องจาก WEP ล้าสมัยไปแล้ว แฮกเกอร์สามารถข้ามการเข้ารหัส WEP ได้ในเวลาเพียงไม่กี่นาที
เป็นความคิดที่ดีที่จะหลีกเลี่ยงการแพร่ภาพ SSID หรือชื่อเครือข่าย WiFi ของคุณ แม้ว่านี่อาจหมายความว่าคุณจะต้องตั้งค่าเครือข่ายบนอุปกรณ์ของคุณด้วยตนเอง แต่ก็แนะนำเครือข่ายที่ปลอดภัยยิ่งขึ้นด้วย
เคล็ดลับ #4:คิดก่อนคลิก
นี่เป็นอีกหนึ่งเคล็ดลับที่ต้องใช้สามัญสำนึก หากคุณไม่รู้จักผู้ส่งอีเมล ให้หลีกเลี่ยงการคลิกบนสิ่งใดๆ ทำให้เป็นนิสัยที่จะวางเมาส์เหนือลิงก์ก่อนเพื่อทราบว่าจะพาคุณไปที่ใด นอกจากนี้ หากคุณต้องการดาวน์โหลดไฟล์จากเว็บ ให้สแกนไฟล์ก่อนเรียกใช้
เคล็ดลับ #5:หลีกเลี่ยงการเชื่อมต่อกับเครือข่าย WiFi แบบเปิด
เมื่อคุณอยู่ในที่สาธารณะ เช่น ห้องสมุด ร้านกาแฟ หรือสนามบิน หลีกเลี่ยงการเชื่อมต่อกับเครือข่าย WiFi แบบเปิด ตรวจสอบให้แน่ใจว่าคุณทำเช่นนี้ โดยเฉพาะอย่างยิ่งหากคุณกำลังเข้าถึงแอพธนาคารหรือเอกสารที่เป็นความลับสูง มีโอกาสที่ผู้โจมตีจะอยู่ในเครือข่ายเดียวกัน โดยรอเหยื่อรายต่อไปอย่างอดทนเพื่อตกเป็นเหยื่อของเหยื่อ
เคล็ดลับ #6:สำรองข้อมูลไฟล์สำคัญของคุณ
เมื่อสถานการณ์เลวร้ายลง สิ่งที่ดีที่สุดที่คุณสามารถทำได้คือสำรองข้อมูลไฟล์สำคัญของคุณ ตามหลักการแล้ว คุณควรมีข้อมูลสำรองที่จัดเก็บไว้ในอุปกรณ์จัดเก็บข้อมูลแยกต่างหาก ด้วยวิธีนี้ เมื่อถึงเวลา คุณจะไม่สามารถเปิดคอมพิวเตอร์ได้อีกต่อไป คุณสามารถกู้คืนข้อมูลสำรองได้อย่างง่ายดาย และเตรียมไฟล์และเอกสารของคุณให้พร้อมในอุปกรณ์อื่น
เคล็ดลับ #7:ลงมือทำ
เคล็ดลับและข้อมูลทั้งหมดที่แชร์ที่นี่จะไร้ประโยชน์ถ้าคุณไม่ทำอะไรเลย แน่นอน คุณต้องใช้ความคิดริเริ่มและทำทุกอย่างที่ทำได้เพื่อป้องกันการโจมตีของมัลแวร์ ถ้าคุณไม่ติดตั้งซอฟต์แวร์ป้องกันมัลแวร์ ก็จะมีช่วงเวลาที่ภัยคุกคามจะหาวิธีสร้างความหายนะให้กับระบบของคุณ
ประเด็นที่นี่คือการดำเนินการ แค่นั่งอยู่หน้าคอมพิวเตอร์ก็ไม่มีผลอะไรกับมัลแวร์
สรุป
อย่างที่พวกเขาพูดเสมอว่า “ถ้ามันดีเกินกว่าจะเป็นจริง มันอาจจะไม่ใช่ก็ได้” คิดเกี่ยวกับมัน คุณต้องหางานทำ คุณไม่สามารถลงจอดได้อย่างง่ายดายเพียงแค่ดาวน์โหลดโปรแกรมหรือแอพ หากคุณเคยพบเว็บไซต์ที่แจ้งให้คุณดาวน์โหลดโปรแกรมเพื่อช่วยให้คุณได้งานทำ ให้ปิดเว็บไซต์นั้นทันที มาเถอะ คุณสามารถหางานที่ดีได้จากเว็บไซต์ที่ถูกกฎหมายหลายแห่ง
ฉลาด. อย่าหลงกลโดยกลอุบายหลอกลวงเหล่านี้ ใช้มาตรการป้องกันเพื่อไม่ให้แฮ็กเกอร์พบวิธีขโมยข้อมูลสำคัญจากคุณ
คุณเคยเจอมัลแวร์ประเภทอื่นที่คล้ายคลึงกันมาก่อนหรือไม่? คุณจัดการกับพวกเขาอย่างไร? แจ้งให้เราทราบในความคิดเห็น
