ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์และพบรายงานจาก Microsoft เกี่ยวกับการโจมตีที่มุ่งเป้าผู้ใช้งานแอปพลิเคชัน WhatsApp บนระบบปฏิบัติการ Windows ซึ่งอาจทำให้ผู้ไม่หวังดีสามารถเข้าควบคุมระบบของผู้ใช้งานได้ การโจมตีดังกล่าว ไม่ได้อาศัยช่องโหว่ของซอฟต์แวร์โดยตรง แต่เป็นการใช้เทคนิค Social Engineering เพื่อหลอกล่อให้ผู้ใช้งานเปิดไฟล์แนบที่เป็นอันตรายด้วยตนเอง ส่งผลให้เครื่องคอมพิวเตอร์อาจถูกติดตั้งมัลแวร์หรือซอฟต์แวร์สำหรับควบคุมเครื่องคอมพิวเตอร์ได้
1. รายละเอียดลักษณะการโจมตี
พบว่าผู้โจมตีมุ่งเป้าไปยังผู้ใช้งานแอปพลิเคชัน WhatsApp บนระบบปฏิบัติการ Windows โดยเฉพาะ เวอร์ชันที่ต่ำกว่า 2.2450.6 ผ่านการส่งไฟล์แนบอันตรายที่แสดงลักษณะคล้ายไฟล์ทั่วไป แต่เป็นไฟล์นามสกุล .vbs (Visual Basic Script) ซึ่งสามารถเรียกทำงานได้ทันทีเมื่อผู้ใช้งานเปิดไฟล์ เมื่อผู้ใช้งานหลงเชื่อและเปิดไฟล์ดังกล่าว สคริปต์จะเริ่มทำงานโดยคัดลอกตัวเองไปซ่อนในโฟลเดอร์ภายในระบบ และเปลี่ยนชื่อให้คล้ายไฟล์ระบบเพื่อหลีกเลี่ยงการตรวจจับ จากนั้นจะดาวน์โหลดมัลแวร์เพิ่มเติมจากบริการคลาวด์ที่น่าเชื่อถือ
เพื่อทำให้ทราฟฟิกดูคล้ายการใช้งานปกติของผู้ใช้ ก่อนพยายามยกระดับสิทธิ์เป็นผู้ดูแลระบบ เพื่อติดตั้งซอฟต์แวร์ที่เปิดทางให้ผู้โจมตีสามารถเข้าควบคุมเครื่องคอมพิวเตอร์ได้ และคงอยู่ภายในระบบได้อย่างต่อเนื่อง
2. แนวทางการป้องกัน
2.1 หลีกเลี่ยงการเปิดไฟล์แนบจากบุคคลที่ไม่รู้จักและควรยืนยันกับผู้ส่งผ่านช่องทางอื่นก่อนเปิดทุกครั้ง
2.2 เปิดแสดงนามสกุลไฟล์ (File Name Extensions) เพื่อให้สามารถตรวจสอบประเภทไฟล์ได้ หากพบไฟล์นามสกุล .vbs หรือ .msi ไม่ควรเปิดใช้งานโดยเด็ดขาดหากไม่มั่นใจว่าเป็นไฟล์ที่ปลอดภัย
2.3 อัปเดตซอฟต์แวร์อย่างสม่ำเสมอ โดยเฉพาะแอปพลิเคชัน WhatsApp และระบบปฏิบัติการ Windows ให้เป็นเวอร์ชันล่าสุด
2.4 หากปรากฏการแจ้งเตือนขอสิทธิ์ผู้ดูแลระบบ (UAC) หรือพบการติดตั้งโปรแกรมที่ผิดปกติโดยไม่ได้ดำเนินการเอง ควรปฏิเสธการให้สิทธิ์และตรวจสอบระบบทันที
2.5 ติดตั้งและใช้งานโปรแกรมป้องกันมัลแวร์หรือโปรแกรมป้องกันไวรัสที่มีการอัปเดตฐานข้อมูลอย่างต่อเนื่อง เพื่อช่วยตรวจจับการทำงานของไฟล์อันตราย
แหล่งอ้างอิง