เตือนภัย! พิมพ์ผิดเพียงตัวเดียวอาจโดนแฮก พบมัลแวร์แฝงตัวในเว็บไซต์เลียนแบบเครื่องมือเปิดใช้งาน Windows (MAS)

ใน

เตือนภัย! พิมพ์ผิดเพียงตัวเดียวอาจโดนแฮก พบมัลแวร์แฝงตัวในเว็บไซต์เลียนแบบเครื่องมือเปิดใช้งาน Windows (MAS)

นักวิจัยด้านความปลอดภัยตรวจพบแคมเปญการแพร่ระบาดของมัลแวร์ที่มุ่งเป้าไปยังผู้ใช้งานที่พยายามใช้เครื่องมือ Microsoft Activation Scripts (MAS) ซึ่งเป็นสคริปต์ยอดนิยมสำหรับเปิดใช้งาน Windows และ Office แบบไม่เป็นทางการ,,

กลโกง "ชื่อคล้าย" ที่เหยื่อมักมองข้าม กลุ่มผู้ไม่หวังดีได้ใช้วิธีที่เรียกว่า "Typosquatting" หรือการจดชื่อโดเมนให้ใกล้เคียงกับของจริงที่สุด เพื่อดักรอผู้ใช้งานที่พิมพ์ชื่อเว็บไซต์ผิดเพียงเล็กน้อย,, โดยมีรายละเอียดดังนี้:

  • เว็บไซต์จริง: get.activated.win
  • เว็บไซต์ปลอม: get.activate[.]win (ไม่มีตัว "d" ด้านหลังคำว่า activate),

หากผู้ใช้งานพิมพ์ชื่อเว็บไซต์ผิดและนำคำสั่งสคริปต์ PowerShell จากเว็บปลอมไปรันในเครื่อง คอมพิวเตอร์จะถูกติดตั้งมัลแวร์ที่ชื่อว่า 'Cosmali Loader' ทันที,

อันตรายที่มากับมัลแวร์ นักวิจัยระบุว่า Cosmali Loader ไม่ได้มาตัวเดียว แต่มันทำหน้าที่เป็น "ตัวนำทาง" เพื่อติดตั้งมัลแวร์ตัวร้ายอื่นๆ ตามมา เช่น:

  • โปรแกรมแอบขุดเหรียญคริปโต (Cryptomining): ซึ่งจะทำให้เครื่องคอมพิวเตอร์ทำงานหนักและช้าลง
  • XWorm Remote Access Trojan (RAT): มัลแวร์ที่ช่วยให้แฮกเกอร์สามารถควบคุมคอมพิวเตอร์ของเหยื่อได้จากระยะไกล

จุดพลิกผัน: เมื่อมี "พลเมืองดี" เข้ามาเตือน เรื่องที่น่าสนใจคือ ผู้ใช้งานบางรายที่ติดมัลแวร์ได้รับข้อความแจ้งเตือนเด้งขึ้นมาบนหน้าจอว่า "คุณติดมัลแวร์ Cosmali Loader แล้ว" พร้อมระบุว่าแผงควบคุมของแฮกเกอร์นั้นไม่มีความปลอดภัยและทุกคนสามารถเข้าถึงเครื่องของเหยื่อได้, นักวิจัยคาดว่าข้อความเตือนเหล่านี้อาจมาจากนักวิจัยที่มีเจตนาดี ซึ่งสามารถเจาะระบบควบคุมมัลแวร์ของแฮกเกอร์ได้สำเร็จ และใช้ช่องทางนั้นส่งข้อความเพื่อเตือนเหยื่อให้รีบแก้ไข

วิธีป้องกันและแก้ไข

  1. ตรวจสอบก่อนกด Enter: ตรวจสอบตัวสะกดของ URL และคำสั่งสคริปต์ทุกครั้งก่อนที่จะนำไปรันในเครื่อง,
  2. หลีกเลี่ยงเครื่องมือละเมิดลิขสิทธิ์: เครื่องมือเหล่านี้มักถูกใช้เป็นช่องทางในการส่งต่อมัลแวร์ และทาง Microsoft เองก็ถือว่าเครื่องมือเหล่านี้เป็นสิ่งที่ละเมิดระบบลิขสิทธิ์,
  3. หากสงสัยว่าติดเชื้อ: ให้ตรวจสอบที่ Task Manager เพื่อดูว่ามีกระบวนการ PowerShell ที่ทำงานผิดปกติหรือไม่ หากพบว่าติดเชื้อแล้ว คำแนะนำที่ปลอดภัยที่สุดคือ การติดตั้ง Windows ใหม่ทั้งหมด
  4. ใช้เครื่องมือที่ปลอดภัย: หากจำเป็นต้องรันโค้ดที่ไม่คุ้นเคย ควรทดสอบในระบบจำลอง (Sandbox) ก่อนเสมอ

การจดชื่อโดเมนปลอมนี้เปรียบเสมือนการตั้งชื่อร้านค้าให้สะกดผิดไปจากร้านดังเพียงหนึ่งตัวอักษร เพื่อดักลูกค้าที่เดินเข้าผิดร้านให้เข้าไปในที่ที่ไม่ปลอดภัยโดยไม่รู้ตัว

ความคิดเห็น

แสดงความคิดเห็น