Malware News

3ve — เครือข่ายโฆษณาอันตรายถูกปิดตัว

เครือข่ายโฆษณาอันตราย 3ve ถูกหน่วยงานบังคับใช้กฎหมายทั่วโลกดำเนินคดี

เมื่อวันจันทร์ที่ 22 ตุลาคม 2018 หน่วยงานกฎหมายทั่วโลกเริ่มปฏิบัติการยับยั้ง “3ve” ต่อมาในวันที่ 27 พฤศจิกายน 2018 ศาลออกคำสั่งฟ้อง 13 กระทงจำเลย 8 คน มี 3 คนที่อยู่ในการควบคุม และรอผ่านกระบวนการส่งผู้ร้ายข้ามแดน

แผนโฆษณาปลอมสร้างความเสียหายให้กับโลกอินเตอร์เน็ตมานานหลายปี ยักยอกเงิน และรายได้จากโฆษณาที่ผู้ทำโฆษณาควรได้รับ พื้นฐานของโฆษณาปลอมส่วนมากยังคงเหมือนเดิมคือ ใช้ซอฟต์แวร์เลียนแบบพฤติกรรมให้เหมือนผู้ใช้ อย่างเช่นคลิกลิงก์หรือชมวิดีโอ ทั้งหมดเป็นโปรแกรมอัตโนมัติ หรือแผนการอื่นๆ อย่างการเปลี่ยนปลายทาง เมื่อผู้ใช้คลิกโฆษณา ในกรณีของ 3ve เป็นการคลิกโฆษณาโดยที่ผู้ใช้ไม่รู้ตัว

3ve ใช้บอทเน็ตอย่างน้อย 2 ตัว: Boaxxe และ Kovter ซึ่งนักวิจัยของ ESET ตรวจสอบมาอย่างต่อเนื่อง และแบ่งปันข้อมูลด้านเทคนิคให้กับหน่วยงานกฎหมาย ร่วมกับทีมอื่นๆที่เข้ามาช่วยแบ่งปันข้อมูลและหยุดภัยคุกคาม

หากคุณอยากตรวจสอบว่าเครื่องของคุณถูก 3ve แทรกซึมหรือเปล่า ให้ลองสแกนด้วยโปรแกรมป้องกันไวรัส แต่ถ้าหากไม่มีคุณสามารถดาวน์โหลด ESET Online Scanner เพื่อค้นหาและกำจัด Kovter และ Boaxxe จากระบบของคุณได้

ข้อมูลของ Boaxxe และ Kovter

Boaxxe

Boaxxe หรืออีกชื่อหนึ่งคือ Miuref มีความสามารถในการเปลี่ยนเส้นทางของทราฟฟิคไปยังลิงก์ที่พวกเขาต้องการ โดยเฉพาะในช่วงที่ผู้ใช้ค้นหาคีย์เวิร์ดบน Search Engine ตัว Boaxxe จะแสดงผลเว็บไซต์ที่แฮกเกอร์ต้องการ ซึ่ง Boaxxe จะอยู่ในส่วนเสริม (Extension) ของเบราว์เซอร์อย่าง Google Chrome และ Mozilla Firefox หรือใน Embedded Mode ของ Internet Explorer และดูเหมือนว่า Boaxxe จะเป็นต้นแบบของ 3ve

Kovter

Kovter ปรากฎตัวครั้งแรกในปี 2014 ในฐานะของโปรแกรมเรียกค่าไถ่ (Ransomware) แต่ล่าสุดผันตัวเป็นมัลแวร์โฆษณา พัฒนาความสามารถในการตบตาและหลบหนีการตรวจจับ กับความสามารถใหม่ในการส่งทราฟฟิคปลอมปลอม หากพบการตรวจสอบ และปิดตัวเองหากมี Windows Task Manager เปิดขึ้นมา บวกกับในตอนนี้ฝังตัวเองใน Windows Registry หรือที่เรียกว่า “fileless” เพื่อให้มั่นใจได้ว่าโฆษณาปลอมจะแสดงต่อเมื่อระบบไม่ได้ใช้งาน หรือหน้าจอไม่ได้เปิด รวมถึงการปกปิดภาพและเสียงไม่ให้ผู้ใช้ได้ยิน

Kovter และ Boaxxe เข้าถึงผู้ใช้ด้วยหลากหลายวิธีการ ทั้งสแปม Drive-by Downloads และ Pay-Per-Install สิ่งที่น่าสนใจอีกอย่างหนึ่งคือมัลแวร์ทั้งสองตัวนี้เป็นส่วนหนึ่งของ Nemucod

Author: Jean-Ian Boutin
Source:
https://www.welivesecurity.com/2018/11/27/3ve-online-ad-fraud-disrupted/
Translated by: Worapon H.

%d bloggers like this: