ระวังโปรแกรมแปลง PDF ออนไลน์ที่หลอกผู้ใช้ให้ติดตั้งมัลแวร์ขโมยรหัสผ่าน
ระวังโปรแกรมแปลง PDF ออนไลน์ที่หลอกผู้ใช้ให้ติดตั้งมัลแวร์ขโมยรหัสผ่าน
แฮกเกอร์ได้เปิดตัวแคมเปญมัลแวร์ที่ซับซ้อน โดยใช้เว็บไซต์แปลงไฟล์จาก PDF เป็น DOCX ที่ปลอมแปลงเป็นบริการยอดนิยมอย่าง PDFCandy เพื่อหลอกให้ผู้ใช้ที่ต้องการแปลงเอกสารเข้าไปใช้บริการบนเว็บไซต์ปลอมเหล่านี้ ซึ่งรวมไปถึงโดเมนชื่ออย่าง candyxpdf.com และ candyconverterpdf.com
ในขั้นตอนของการโจมตี เมื่อผู้ใช้ทำการอัปโหลดไฟล์เพื่อแปลงพวกเขาจะพบกับอินเทอร์เฟซที่ดูน่าเชื่อถือ ทั้งมีการแสดงผลลำดับการโหลดแบบแอนิเมชันและเลือกตั้งค่าการแปลงไฟล์ที่คุ้นเคย แต่หลังจากนั้นผู้ใช้จะถูกเปลี่ยนเส้นทางให้ผ่านการตรวจสอบ CAPTCHA เทียมที่แนะนำให้กดแป้นพิมพ์ Windows+R แล้ววางคำสั่ง PowerShell ที่ถูกเข้ารหัสไว้ เมื่อดำเนินการตามคำแนะนำนี้จะทำหน้าที่เปิดการติดเชื้อแบบ multi-stage โดยคำสั่งนั้นจะเรียกใช้งาน “adobe.zip” ซึ่งเป็นชุดไฟล์ที่มีโปรแกรมที่ชื่อว่า audiobit.exe และจากนั้นจะโหลดมัลแวร์ ArechClient2 อัตโนมัติ
จากการวิเคราะห์โดยนักวิจัยจาก CloudSEK พบว่ามัลแวร์ตัวนี้เป็นสายพันธุ์หนึ่งของกลุ่ม SectopRAT ซึ่งมีการใช้งานมาตั้งแต่ปี 2019 การโจมตีใช้กระบวนการเปลี่ยนเส้นทางหลายขั้นตอน โดยมีโดเมนตัวกลางอย่าง “bind-new-connect.click” เพื่อเชื่อมต่อและดาวน์โหลด payload จากเซิร์ฟเวอร์ที่โฮสต์ไฟล์มัลแวร์ที่อยู่บน IP address 172.86.115.43
มัลแวร์นี้ถูกออกแบบมาโดยมีความสามารถในการขโมยข้อมูลสำคัญจากระบบของผู้ใช้งาน เช่น การดักจับรหัสผ่านที่เก็บไว้ในเบราว์เซอร์ ข้อมูลของกระเป๋าเงินคริปโตเคอร์เรนซี และข้อมูลที่ละเอียดอ่อนอื่น ๆ อีกทั้งยังใช้เทคนิคหลบเลี่ยงมาตรการรักษาความปลอดภัยผ่านการใช้งานเครื่องมือของ Windows ที่เป็นมาตรฐาน
ในส่วนของการป้องกัน ผู้เชี่ยวชาญแนะนำให้ผู้ใช้ระมัดระวังและใช้เครื่องมือแปลงไฟล์เฉพาะที่มาจากแหล่งที่น่าเชื่อถืออย่างเป็นทางการ หากมีเว็บไซต์ร้องขอให้รันคำสั่งหรือแปะคำสั่งใน Command Line ควรตรวจสอบให้ดีว่าหน้าเว็บไซต์นั้นมาจากแหล่งที่มีความน่าเชื่อถือจริงๆ เพื่อป้องกันการติดเชื้อมัลแวร์ที่มีเป้าหมายขโมยข้อมูลส่วนบุคคลและข้อมูลสำคัญอื่นๆ ในระบบของตน
ที่มา: Cybersecuritynews
ติดต่อสอบถามเกี่ยวกับผลิตภัณฑ์ AntiVirus, DLP, MDM, Laptop, PC, Server, และผลิตภัณฑ์ไอทีอื่นๆอีกมากมายทั้ง Hardware และ Software พร้อมเสนอราคาที่คุ้มค่าและการบริการที่เปี่ยมประสิทธิภาพ
Mobile: 09 5368 5898
Tel: 0 2093 1625
Fax: 0 2093 1675 (Auto)
Email: sales@ampomicrosys.com
Latest Articles
เหตุใดทีม SOC ชั้นนำจึงหันมาใช้ Network Detection and Response
แพ็กเกจ npm ปลอมเลียนแบบ Telegram Bot API เพื่อฝัง SSH Backdoors บนระบบ Linux
ผู้หลอกลวงใช้ Google OAuth เพื่อปลอมตัวเป็น Google ในการโจมตี DKIM แบบรีเพลย์
Wine Lure ของ Cozy Bear ปล่อยมัลแวร์ WineLoader ลงบนนักการทูตสหภาพยุโรป
Microsoft กำหนดให้บัญชีใหม่ทั้งหมดไม่มีรหัสผ่านเป็นค่าเริ่มต้น
