195/67 (IT) ประจำวันอังคารที่ 4 มิถุนายน 2567
ผู้เป็นภัยคุกคามมีการใช้การอัปเดตเว็บเบราว์เซอร์ปลอม ที่แพร่กระจายมัลแวร์โทรจันการเข้าถึงระยะไกล (RAT) และมัลแวร์ขโมยข้อมูล เช่น BitRATและ Lumma Stealer (หรือที่เรียกว่า LummaC2) โดนนักวิจัยพบชุดห่วงโซ่การโจมตีดังกล่าว จะเริ่มต้นขึ้นเมื่อเป้าหมายหลงเข้าไปเว็บไซต์ที่เป็นกับดักซึ่งมีโค้ด JavaScript ที่ออกแบบมาเพื่อเปลี่ยนเส้นทางผู้ใช้งานที่ตกเป็นเหยื่อไปยังหน้าเว็บการอัปเดตเบราว์เซอร์ปลอม (“chatgpt-app[.]cloud”) โดยหน้าเว็บที่ถูกเปลี่ยนเส้นทางมาพร้อมกับลิงก์ดาวน์โหลดไปยังไฟล์ ZIP (“Update[.]zip”) ที่โฮสต์บน Discord และจะทำการดาวน์โหลดไปยังอุปกรณ์ของเหยื่อโดยอัตโนมัติ ซึ่งเป็นเรื่องที่น่าสังเกตว่าผู้คุกคามมักใช้ Discord เป็นเวกเตอร์การโจมตี โดยการวิเคราะห์ล่าสุดจาก Bitdefender เผยให้เห็นลิงก์อันตรายมากกว่า 50,000 ลิงก์ที่แพร่กระจายมัลแวร์ แคมเปญฟิชชิ่ง และสแปมในช่วง 6 เดือนที่ผ่านมานี้ ซึ่งภายในไฟล์ ZIP คือไฟล์ JavaScript อีกไฟล์ (“Update[.]js”) ซึ่งทริกเกอร์การทำงานของสคริปต์ PowerShell ที่ใช้ในการดึงข้อมูลเพย์โหลดเพิ่มเติม รวมถึง BitRAT และ Lumma Stealer จากเซิร์ฟเวอร์ระยะไกลในรูปแบบของไฟล์รูปภาพ PNG นอกจากนี้ สคริปต์ PowerShell ที่ดึงข้อมูลมาในลักษณะนี้ยังสร้างการคงอยู่และตัวโหลดที่ใช้ .NET ซึ่งส่วนใหญ่ใช้สำหรับการติดตั้งมัลแวร์ในขั้นตอนสุดท้าย โดย eSentire ตั้งสมมติฐานว่าตัวโหลดมีแนวโน้มที่จะโฆษณาว่าเป็น “บริการจัดส่งมัลแวร์” เนื่องจากตัวโหลดเดียวกันนั้นใช้ในการปรับใช้ทั้ง BitRAT และ Lumma Stealer
BitRAT เป็นมัลแวร์ประเภท RAT ที่มีฟีเจอร์หลากหลายซึ่งช่วยให้ผู้โจมตีสามารถรวบรวมข้อมูล ขุดสกุลเงินดิจิทัล ดาวน์โหลดไบนารีเพิ่มเติม และควบคุมโฮสต์ที่ติดไวรัสจากระยะไกล Lumma Stealer มัลแวร์ขโมยข้อมูลซึ่งมีราคา 250 ถึง 1,000 ดอลลาร์ต่อเดือน และเป็นหนึ่งในมัลแวร์ขโมยข้อมูลที่แพร่หลายมากที่สุดในปี 2023 ควบคู่ไปกับ RedLine และ Raccoon ตามรายงานระบุ ความนิยมที่เพิ่มขึ้นของมัลแวร์ LummaC2 ในหมู่กลุ่มที่เป็นภัยคุกคามน่าจะมีสาเหตุมามาจากอัตราความสำเร็จที่สูง ซึ่งหมายถึงประสิทธิผลในการแทรกซึมระบบได้สำเร็จ และขโมยข้อมูลที่ละเอียดอ่อนโดยไม่มีระบบการตรวจจับได้
ทั้งนี้ยังพบว่ามีรูปแบบของห่วงโซ่การโจมตีที่มีลักษณะคล้ายกัน ซึ่งรูปแบบดังกล่าวเกี่ยวข้องกับเว็บไซต์ที่นำเสนอให้ดาวน์โหลดซอฟต์แวร์ที่ละเมิดลิขสิทธิ์ แต่นำไปสู่การปรับใช้ตัวโหลดมัลแวร์ เช่น PrivateLoader และ TaskLoader ซึ่งทั้งคู่เสนอเป็นบริการแบบจ่ายต่อการติดตั้ง (PPI) สำหรับอาชญากรไซเบอร์รายอื่นเพื่อให้ดำเนินการส่งเพย์โหลดของตนเอง
แหล่งข่าว https://thehackernews.com/2024/06/beware-fake-browser-updates-deliver.html
