Cybersecurity Malware

แผนการอันตรายโจมตีผู้ใช้เกาหลีใต้

คอนเท้นต์เกาหลีในเว็บบิทถูกนำไปแพร่กระจายไวรัสมัลแวร์

นักวิจัยของ ESET พบแผนการอันตรายแพร่กระจายไวรัสมัลแวร์ผ่าน Torrent โดยใช้เนื้อหาจากทีวีเกาหลีเป็นตัวหลอก

แฟนเกาหลีอาจต้องระวังให้ดีเพราะว่าแผนการนี้ใช้ซีรีย์และรายการทีวีองเกาหลีเพื่อแพร่กระจายไวรัสผ่านเว็บไซต์ Torrent หรือที่เราอาจคุ้นเคยว่าคือการโหลดบิท

มัลแวร์ดังกล่าวทำให้แฮกเกอร์สามารถใช้คอมพิวเตอร์ของผู้ใช้เป็นบอทเน็ตและรีโมตเข้ามาควบคุมได้ มัลแวร์ตัวนี้ดัดแปลง Backdoor ชื่อ GoBot2 เพื่อโจมตีผู้ใช้ในเกาหลีได้โดยเฉพาะ เราตั้งชื่อมันว่า Win64/GoBot2 สายพันธุ์ GoBotKR

จากการตรวจจับของ ESET มัลแวร์ GoBotKR ตั้งแต่มีนาคม 2018 อยู่ในหลักหลายร้อย โดย 80% เป็นผู้ใช้จากเกาหลี 10% จากจีน และไต้หวัน 5%

วิธีการแพร่กระจาย

เมื่อผู้ใช้โหลดไฟล์ที่คิดว่าเป็นซีรีย์และรายการทีวีเกาหลี หรือเกมส์มาจากเว็บไซต์บิทเกาหลีและจีน แต่แท้ที่จริงแล้วเป็นไฟล์อันตรายนามสกุล LNK (ชื่อไฟล์เป็นชื่อวิดีโอและไอคอนเป็นวิดีโอ) และไฟล์ PMA (ดูเหมือนไฟล์ codec)

หากเปิดไฟล์ LNK จะเริ่มทำงานมัลแวร์ เริ่มต่นจากรวบรวมข้อมูลคอมพิวเตอร์ อย่าง เครือข่าย เวอร์ชั่นของระบบปฏิบัติการ เวอร์ชั่น CPU และ GPU รวมถึงแอนไตี้ไวรัส ข้อมูลทั้งหมดจะถูกส่งไปยังเซิร์ฟเวอร์ C&C

วิธีการป้องกัน

หากคุณสงสัยว่าตัวเองตกเป็นเหยื่อของแผนการนี้ เราแนะนำให้คุณใช้งานโปรแกรมแอนตี้ไวรัสเพื่อสแกน ผลิตภัณฑ์ของ ESET สามารถตรวจจับมัลแวร์ดังกล่าวได้ในชื่อ Win64/GoBot2 หรือใช้ Online Scanner ของ ESET

เราทราบกันดีอยู่แล้วว่าการดาวน์โหลดผ่านเว็บบิทนั้นเป็นหนึ่งในการแพร่กระจายมัลแวร์ หากคุณจะดาวน์โหลดบิทควรใช้แหล่งที่น่าเชื่อถือและตรวจสอบไฟล์ที่คุณกำลังจะดาวน์โหลด เพื่อความปลอดภัยของคอมพิวเตอร์และข้อมูลส่วนตัวของคุณ

Author: Zuzana Hromcová
Source: https://www.welivesecurity.com/2019/07/08/south-korean-users-backdoor-torrents/
Translated by: Worapon H.

%d bloggers like this: