ระวังโปรแกรมแปลง PDF ออนไลน์ที่หลอกผู้ใช้ให้ติดตั้งมัลแวร์ขโมยรหัสผ่าน
ระวังโปรแกรมแปลง PDF ออนไลน์ที่หลอกผู้ใช้ให้ติดตั้งมัลแวร์ขโมยรหัสผ่าน
แฮกเกอร์ได้เปิดตัวแคมเปญมัลแวร์ที่ซับซ้อน โดยใช้เว็บไซต์แปลงไฟล์จาก PDF เป็น DOCX ที่ปลอมแปลงเป็นบริการยอดนิยมอย่าง PDFCandy เพื่อหลอกให้ผู้ใช้ที่ต้องการแปลงเอกสารเข้าไปใช้บริการบนเว็บไซต์ปลอมเหล่านี้ ซึ่งรวมไปถึงโดเมนชื่ออย่าง candyxpdf.com และ candyconverterpdf.com
ในขั้นตอนของการโจมตี เมื่อผู้ใช้ทำการอัปโหลดไฟล์เพื่อแปลงพวกเขาจะพบกับอินเทอร์เฟซที่ดูน่าเชื่อถือ ทั้งมีการแสดงผลลำดับการโหลดแบบแอนิเมชันและเลือกตั้งค่าการแปลงไฟล์ที่คุ้นเคย แต่หลังจากนั้นผู้ใช้จะถูกเปลี่ยนเส้นทางให้ผ่านการตรวจสอบ CAPTCHA เทียมที่แนะนำให้กดแป้นพิมพ์ Windows+R แล้ววางคำสั่ง PowerShell ที่ถูกเข้ารหัสไว้ เมื่อดำเนินการตามคำแนะนำนี้จะทำหน้าที่เปิดการติดเชื้อแบบ multi-stage โดยคำสั่งนั้นจะเรียกใช้งาน “adobe.zip” ซึ่งเป็นชุดไฟล์ที่มีโปรแกรมที่ชื่อว่า audiobit.exe และจากนั้นจะโหลดมัลแวร์ ArechClient2 อัตโนมัติ
จากการวิเคราะห์โดยนักวิจัยจาก CloudSEK พบว่ามัลแวร์ตัวนี้เป็นสายพันธุ์หนึ่งของกลุ่ม SectopRAT ซึ่งมีการใช้งานมาตั้งแต่ปี 2019 การโจมตีใช้กระบวนการเปลี่ยนเส้นทางหลายขั้นตอน โดยมีโดเมนตัวกลางอย่าง “bind-new-connect.click” เพื่อเชื่อมต่อและดาวน์โหลด payload จากเซิร์ฟเวอร์ที่โฮสต์ไฟล์มัลแวร์ที่อยู่บน IP address 172.86.115.43
มัลแวร์นี้ถูกออกแบบมาโดยมีความสามารถในการขโมยข้อมูลสำคัญจากระบบของผู้ใช้งาน เช่น การดักจับรหัสผ่านที่เก็บไว้ในเบราว์เซอร์ ข้อมูลของกระเป๋าเงินคริปโตเคอร์เรนซี และข้อมูลที่ละเอียดอ่อนอื่น ๆ อีกทั้งยังใช้เทคนิคหลบเลี่ยงมาตรการรักษาความปลอดภัยผ่านการใช้งานเครื่องมือของ Windows ที่เป็นมาตรฐาน
ในส่วนของการป้องกัน ผู้เชี่ยวชาญแนะนำให้ผู้ใช้ระมัดระวังและใช้เครื่องมือแปลงไฟล์เฉพาะที่มาจากแหล่งที่น่าเชื่อถืออย่างเป็นทางการ หากมีเว็บไซต์ร้องขอให้รันคำสั่งหรือแปะคำสั่งใน Command Line ควรตรวจสอบให้ดีว่าหน้าเว็บไซต์นั้นมาจากแหล่งที่มีความน่าเชื่อถือจริงๆ เพื่อป้องกันการติดเชื้อมัลแวร์ที่มีเป้าหมายขโมยข้อมูลส่วนบุคคลและข้อมูลสำคัญอื่นๆ ในระบบของตน
ที่มา: Cybersecuritynews
ติดต่อสอบถามเกี่ยวกับผลิตภัณฑ์ AntiVirus, DLP, MDM, Laptop, PC, Server, และผลิตภัณฑ์ไอทีอื่นๆอีกมากมายทั้ง Hardware และ Software พร้อมเสนอราคาที่คุ้มค่าและการบริการที่เปี่ยมประสิทธิภาพ
Mobile: 09 5368 5898
Tel: 0 2093 1625
Fax: 0 2093 1675 (Auto)
Email: sales@ampomicrosys.com
Latest Articles
ผู้ให้บริการระบบคลาวด์ที่ดีที่สุด 25 อันดับแรก (ทั้งแบบสาธารณะและส่วนตัว) ในปี 2025
เครื่องมือ Tor Oniux ใหม่ทำให้การรับส่งข้อมูลเครือข่ายของแอพ Linux ไม่ระบุตัวตน
การควบคุมแอพพลิเคชั่น Windows Defender ถูกข้ามไปโดยใช้ช่องโหว่ของเบราว์เซอร์ที่ใช้งานได้
BianLian และ RansomExx ใช้ประโยชน์จากช่องโหว่ SAP NetWeaver เพื่อติดตั้งโทรจัน PipeMagic
Admin และ 123456 ยังคงเป็นรหัสผ่านที่ถูกใช้งานมากที่สุดในการโจมตี FTP
