187/67 (IT) ประจำวันจันทร์ที่ 27 พฤษภาคม 2567
พบว่าผู้คุกคามสร้างเว็บไซต์ปลอมที่อ้างเป็นโปรแกรม antivirus ที่ถูกต้องตามกฎหมาย เช่น Avast, Bitdefender และ Malwarebytes เพื่อแพร่กระจายมัลแวร์ที่สามารถขโมยข้อมูลที่ละเอียดอ่อนจากอุปกรณ์ Android และ Windows ได้ โดยมีรายชื่อเว็บไซต์ปลอมดังนี้
– avast-securedownload[.]com ซึ่งใช้ในการส่งโทรจัน SpyNote ในรูปแบบของไฟล์แพ็คเกจ Android (“Avast.apk”) ที่เมื่อติดตั้งแล้ว จะขอสิทธิ์เข้าถึง การอ่านข้อความ SMS บันทึกการโทร ติดตั้งและลบแอป จับภาพหน้าจอ ติดตามตำแหน่ง และแม้แต่ขุดเงินดิจิทัล
– bitdefender-app[.]com ซึ่งใช้ในการส่งไฟล์ ZIP (“setup-win-x86-x64.exe[.zip]”) ที่ใช้มัลแวร์ขโมยข้อมูลLumma
– Malwarebytes[.]pro ซึ่งใช้ในการส่งไฟล์ RAR (“MBSetup.rar”) ที่ใช้งานมัลแวร์ขโมยข้อมูล StealC
ขณะนี้ยังไม่เป็นที่ชัดเจนว่าเว็บไซต์ปลอมเหล่านี้ มีวิธีการเผยแพร่อย่างไร แต่แคมเปญที่คล้ายกันในอดีตได้ใช้เทคนิคต่าง ๆ เช่น การใช้โฆษณาออนไลน์เป็นเครื่องมือในการเผยแพร่ (Malvertising) หรือการใช้เทคนิค Search Engine Optimization (SEO) poisoning เพื่อให้เว็บไซต์ดังกล่าวให้ปรากฏในผลการค้นหาอันดับสูงใน Google
ทั้งนี้ มัลแวร์ขโมยข้อมูลได้กลายเป็นภัยคุกคามที่พบบ่อยมากขึ้น โดยอาชญากรไซเบอร์สร้างรูปแบบที่กำหนดเองจำนวนมาก และมีระดับความซับซ้อนที่แตกต่างกัน ซึ่งรวมถึงมัลแวร์ขโมยตัวใหม่ ๆ เช่น Acrid , SamsStealer, ScarletStealer และ Waltuhium Grabber โดยเมื่อต้นสัปดาห์นี้ บริษัท Kaspersky ยังได้ให้รายละเอียดเกี่ยวกับแคมเปญมัลแวร์ Gipy ที่ใช้ประโยชน์จากความนิยมของเครื่องมือปัญญาประดิษฐ์ (AI) โดยการโฆษณาเครื่องกำเนิดเสียง AI ปลอมผ่านเว็บไซต์ฟิชชิ่ง ซึ่งเมื่อติดตั้งแล้ว Gipy จะโหลดมัลแวร์บุคคลที่สามที่โฮสต์บน GitHub ตั้งแต่ตัวขโมยข้อมูล (Lumma, RedLine, RisePro และ LOLI Stealer) และตัวขุดสกุลเงินดิจิทัล (Apocalypse ClipBanker) ไปจนถึงโทรจันเข้าถึงระยะไกล (DCRat และ RADXRat) และแบ็คดอร์ (TrueClient) การพัฒนาดังกล่าวเกิดขึ้นเมื่อนักวิจัยได้ค้นพบโทรจันธนาคาร Android ตัวใหม่ชื่อ Antidot ซึ่งปลอมตัวเป็นการอัปเดต Google Play เพื่ออำนวยความสะดวก ในการขโมยข้อมูลโดยใช้การเข้าถึงอุปกรณ์ที่ใช้ระบบ Android
แหล่งข่าว https://thehackernews.com/2024/05/fake-antivirus-websites-deliver-malware.html