Clear
Lead Graphic Papers

ระวังภัย เสี่ยงถูกสวมรอยบน Facebook ได้ หากเปิดอ่านแจ้งเตือนจากเพื่อน

วันที่ประกาศ: 11 พฤษภาคม 2559
ปรับปรุงล่าสุด: 11 พฤษภาคม 2559
เรื่อง: ระวังภัย เสี่ยงถูกสวมรอยบน Facebook ได้ หากเปิดอ่านแจ้งเตือนจากเพื่อน
ประเภทภัยคุกคาม: Malicious Code

Share on Facebook Share on Twitter Share on Facebook

ข้อมูลทั่วไป

เมื่อวันที่ 10 พฤษภาคม 2559 ไทยเซิร์ตได้รับแจ้งว่ามีการแพร่กระจายมัลแวร์ผ่าน Facebook โดยลักษณะคือผู้ใช้จะได้รับแจ้งเตือนว่าถูกพาดพิงโดยบุคคลที่สาม ดังแสดงในรูปที่ 1


รูปที่ 1 ตัวอย่างการแจ้งเตือนที่พบ

หากผู้ใช้คลิกเข้าไปดูข้อความแจ้งเตือนดังกล่าว จะถูกนำพาไปยังเว็บไซต์อื่นทันทีโดยไม่มีการแจ้งเตือน

เว็บไซต์ปลายทางที่ถูกนำพาไป ปรากฏข้อความว่าเป็นส่วนขยายของเบราว์เซอร์ สำหรับใช้เปลี่ยนสีของเว็บไซต์ Facebook และให้ดาวน์โหลดไฟล์ Instalador_Cores.scr มาติดตั้ง ดังรูปที่ 2


รูปที่ 2 หน้าเว็บไซต์ปลายทางมีให้ดาวน์โหลดไฟล์ Instalador_Cores.scr

ไฟล์ .scr ที่ดาวน์โหลดมา เป็นตัวติดตั้งส่วนขยาย (Extension) ของ Google Chrome ส่วนขยายนี้ทำหน้าที่สองอย่าง เบื้องหน้าเป็นโปรแกรมที่ใช้เปลี่ยนสีของเว็บไซต์ Facebook แต่เบื้องหลังแอบสวมรอยนำบัญชี Facebook ของผู้ใช้ไปโพสต์คอมเมนต์ในเว็บไซต์เพื่อแท็กชื่อเพื่อนคนอื่นหลอกให้ดาวน์โหลดมัลแวร์ต่อ

พฤติกรรมการทำงานของมัลแวร์

รายละเอียดของไฟล์มัลแวร์ที่พบ
ชื่อไฟล์: Instalador_Cores.scr
ขนาด: 3,482,624 bytes
MD5: add95d1e66128ab488dadda469b7b377
SHA-256: 52eb68b2cef481d8c0a3a6ab5a85c5be9dcf2c70a81d0b7dfe0991a83bf6755b

พฤติกรรมการทำงาน
เมื่อดับเบิ้ลคลิกไฟล์ Instalador_Cores.scr พบหน้าจอให้ติดตั้งโปรแกรมดังรูปที่ 3


รูปที่ 3 หน้าจอให้ติดตั้งโปรแกรม

เมื่อกดปุ่ม “Instalar” โปรแกรมจะติดตั้งส่วนขยาย (Extension) ของเบราว์เซอร์ Google Chrome โดยจะสร้างไฟล์ไว้ที่ไดเรกทอรี C:\User\[ชื่อผู้ใช้]\AppData\Local\Google\Update จากนั้นจะสร้าง Shortcut สำหรับเรียกใช้งาน Google Chrome ไว้ที่ Desktop โดยตัว Shortcut ดังกล่าวจะเป็นการเปิดใช้งาน Google Chrome โดยโหลดส่วนเสริมที่ถูกติดตั้งใหม่ขึ้นมาทำงานด้วย

หากเปิดใช้งาน Google Chrome จาก Shortcut ที่ถูกสร้างขึ้นใหม่ และเข้าเว็บไซต์ Facebook จะพบว่าสีของเว็บไซต์ Facebook ได้ถูกเปลี่ยนเป็นสีเขียว และพบว่ามีการติดตั้งส่วนขยายที่สามารถใช้เปลี่ยนสีของเว็บไซต์ Facebook ได้ ดังรูปที่ 4


รูปที่ 4 ตัวอย่างส่วนขยายของ Google Chrome ที่สามารถเปลี่ยนสีเว็บไซต์ Facebook ได้

อย่างไรก็ตาม ส่วนขยายนี้มีการทำงานเบื้องหลังคือจะตรวจสอบว่ามีบัญชีผู้ใช้ Facebook ล็อกอินอยู่ในเบราว์เซอร์หรือไม่ หากพบว่ามีอยู่ จะใช้บัญชีนั้นสวมรอยโพสต์คอมเมนต์ในเว็บไซต์ pinandwin8.co.nz

ตัวอย่างลักษณะการทำงานที่ส่วนขยายสวมรอยบัญชีผู้ใช้ Facebook จากในเบราว์เซอร์ไปโพสต์คอมเมนต์โดยไม่ได้รับอนุญาต เป็นดังรูปที่ 5


รูปที่ 5 ตัวอย่างลักษณะการทำงานที่สวมรอยบัญชี Facebook โพสต์คอมเมนต์โดยไม่ได้รับอนุญาต

จากกรณีนี้ ไทยเซิร์ตพบว่าผู้สร้างมัลแวร์นำระบบแจ้งเตือนคอมเมนต์ของ Facebook มาใช้เป็นหนึ่งในวิธีการแพร่กระจาย เนื่องจาก Facebook อนุญาตให้ผู้พัฒนาเว็บไซต์สามารถติดตั้งปลั๊กอิน Facebook Comments [1] เพื่อให้ผู้เยี่ยมชมเว็บไซต์สามารถแสดงความคิดเห็นในหน้าเว็บไซต์ได้โดยใช้ล็อกอินของ Facebook ซึ่งในช่องคอมเมนต์ผู้ใช้สามารถพาดพิงถึงเพื่อนที่อยู่ในรายชื่อผู้ติดต่อได้ ดังรูปที่ 6 ซึ่งเมื่อผู้ที่ถูกพาดพิงได้รับแจ้งเตือนและกดอ่าน ก็จะถูกนำมาที่เว็บไซต์ที่มีคอมเมนต์ดังกล่าวอยู่


รูปที่ 6 การพาดพิงถึงเพื่อนในช่อง Facebook Comments

ช่องทาง Facebook Comments สามารถใช้ในการหลอกให้ผู้ใช้เข้าไปยังเว็บไซต์อันตรายได้ เช่น เว็บไซต์ที่หลอกให้ดาวน์โหลดมัลแวร์ หรือหน้าเว็บไซต์ปลอมที่หลอกขโมยรหัสผ่าน (Phishing) เป็นต้น

ข้อแนะนำในการป้องกันและแก้ไข

การแก้ไขหากตกเป็นเหยื่อ

สำหรับผู้ใช้ที่ตกเป็นเหยื่อและเผลอติดตั้งมัลแวร์จากไฟล์ Instalador_Cores.scr สามารถแก้ไขได้ดังนี้

1. ไปที่ไดเรกทอรี C:\User\[ชื่อผู้ใช้]\AppData\Local\Google\Update แล้วลบไฟล์ที่มัลแวร์สร้าง ดังนี้
  • /background.html
  • /css/spectrum.css
  • /css/style.css
  • /img/icon.png
  • /img/icon128.png
  • /img/icon19.png
  • /img/icon38.png
  • /img/icon48.png
  • /js/background.js
  • /js/contentScript.js
  • /js/lib/jquery-1.8.2.min.js
  • /js/lib/spectrum.js
  • /js/popup.js
  • /manifest.json
  • /popup.html
2. ลบไอคอน Google Chrome ที่ถูกสร้างขึ้นใหม่ออกจาก Desktop

การป้องกันการโจมตีลักษณะนี้ในอนาคต

  • ผู้ใช้ Facebook ควรอ่านข้อความแจ้งเตือนที่ปรากฏบนหน้าจอ โดยเฉพาะเมื่อ Facebook แจ้งว่าการคลิกลิงก์จะเป็นการเปลี่ยนเส้นทางไปยังเว็บไซต์อื่น
  • หากคลิกลิงก์จาก Facebook แล้วพบหน้าจอขอให้ใส่รหัสผ่าน ไม่ควรใส่ข้อมูลเพราะอาจเป็นหน้าเว็บไซต์หลอกลวง (Phishing)
  • หากคลิกลิงก์จาก Facebook แล้วพบหน้าจอขอให้ดาวน์โหลดโปรแกรม ควรพิจารณาก่อนดาวน์โหลดโปรแกรมนั้นเพราะอาจเป็นอันตรายได้
  • ผู้ดูแลระบบอาจพิจารณาบล็อคเว็บไซต์ pinandwin8.co.nz เนื่องจากเป็นเว็บไซต์ที่เผยแพร่มัลแวร์

อ้างอิง

  1. https://developers.facebook.com/docs/plugins/comments/
Clear