นักวิจัยของ ESET พบแผนการสแปมโจมตีผู้ใช้ในฝรั่งเศศ
จากการตรวจจับของ ESET พบมัลแวร์ที่มีเป้าหมายเป็นผู้ใช้ในฝรั่งเศส และการตรวจสอบเพิ่มเติมก็พบว่าใช้วิธีการแพร่กระจายผ่านสแปมหลายรูปแบบ ซึ่งมีทั้งการทำแบบสำรวจจนกระทั่งการข่มขู่
เราเชื่อว่า Spambot อยู่ระหว่างการพัฒนาเนื่องจากมีการเปลี่ยนแปลงจากครั้งแรกที่พบ ความน่าสนใจของ Spambot ก็คือความสามารถในการขโมยรหัสผ่าน สอดแนมเครื่องเหยื่อด้วยการถ่ายภาพหน้าจอโดยใช้ FFmpeg
การแพร่กระจาย
Varenyky พบครั้งแรกในเมื่อเดือน พฤษภาคม 2019 ควาดว่าพวกเขาใช้อีเมลปลอม (Phishing) ในการแพร่กระจาย
ในอีเมลบอกว่ามีบิลมูลค่า 491.27 ยูโรแนบมา และแนบไฟล์ที่มีคำว่า “facture” ซึ่งแปลว่าบิล ซึ่งจะทำให้ผู้ใช้เปิดไฟล์
ต่อมาจะมีการยืนยันแสดงขึ้นมา ทั้งที่จริงแล้วเป็นการเปิดใช้งานมาโคร Macro ซึ่งปกติจะถูกปิดเอาไว้เพื่อความปลอดภัย นอกจากนี้ยังมีคำว่า “Document Protected” ซึ่งเป็นการโน้มน้าวให้ผู้ใช้คิดว่ากระบวนการมีความปลอดภัยและเปิดไฟล์
“You’ve got mail”
Spambot จะส่งอีเมลไปยังลูกค้าของ French ISP Orange โดยรับคำสั่งจากเซิร์ฟเวอร์ C&C ข้อความจะเป็นในทำนองว่าคุณได้รับรางวัลต่างๆนาๆ เช่น iPhone X, Samsung Galaxy S9 หรือ S10+ ในราคาถูก เพียงกรอกข้อมูลส่วนตัวและรับสิทธิ ท้ายที่สุดก็คือต้องกรอกรหัสบัตรเครดิต/เดบิต
เราไม่ควรกรอกข้อมูลบัตรเครดิต/เดบิตบนเว็บไซต์ที่น่าสงสัยหรือไม่คุ้นเคย เพราะหลายครั้งที่มิจฉาชีพออนไลน์ใช้โปรโมชั่นเพื่อหลอกล่อให้ผู้ใช้กรอกข้อมูล
แม้ว่า Verenyky จะมีความสามารถในการบันทึกวิดีโอขณะที่เปิดเนื้อหาเกี่ยวกับผู้ใหญ่ แต่ก็ยังไม่มีหลักฐานว่ามีวิดีโอหลุดออกมา แม้ในแผนการข่มขู่ (Sextortion) ก็ไม่พบการใช้งานฟีเจอร์ดังกล่าว
โดยเนื้อหาในอีเมลบอกว่าจะมีการส่งวิดีโอให้กับครอบครัว เพื่อนร่วมงาน หรือโพสต์บนโซเชี่ยลมีเดียหากไม่จ่ายเงินใน 72 ชั่วโมง และการเปลี่ยนรหัสผ่าน ล้างเครื่อง ก็ไม่ช่วยอะไร
Spambot ไม่ได้มีการทำงานที่ซับซ้อนเท่าไหร่นัก แต่การทำงานของมันดูน่าสนใจ และแม้พวกเขาจะอธิบายความสามารถมามากมายแต่หลายอย่างก็ไม่สามารถทำได้จริง เช่น การส่งวิดีโอ
Author: ESET Research https://www.welivesecurity.com/2019/08/08/varenyky-spambot-campaigns-france/
Like this: ถูกใจ กำลังโหลด...
นักวิจัยของ ESET พบแผนการสแปมโจมตีผู้ใช้ในฝรั่งเศศ
จากการตรวจจับของ ESET พบมัลแวร์ที่มีเป้าหมายเป็นผู้ใช้ในฝรั่งเศส และการตรวจสอบเพิ่มเติมก็พบว่าใช้วิธีการแพร่กระจายผ่านสแปมหลายรูปแบบ ซึ่งมีทั้งการทำแบบสำรวจจนกระทั่งการข่มขู่
เราเชื่อว่า Spambot อยู่ระหว่างการพัฒนาเนื่องจากมีการเปลี่ยนแปลงจากครั้งแรกที่พบ ความน่าสนใจของ Spambot ก็คือความสามารถในการขโมยรหัสผ่าน สอดแนมเครื่องเหยื่อด้วยการถ่ายภาพหน้าจอโดยใช้ FFmpeg เพื่อผู้ใช้ค้นหาเนื้อหาเกี่ยวกับผู้ใหญ่ และส่งข้อมูลผ่านเซิร์ฟเวอร์ C&C
การแพร่กระจาย
Varenyky พบครั้งแรกในเมื่อเดือน พฤษภาคม 2019 ควาดว่าพวกเขาใช้อีเมลปลอม (Phishing) ในการแพร่กระจาย
ในอีเมลบอกว่ามีบิลมูลค่า 491.27 ยูโรแนบมา และแนบไฟล์ที่มีคำว่า “facture” ซึ่งแปลว่าบิล ซึ่งจะทำให้ผู้ใช้เปิดไฟล์
ต่อมาจะมีการยืนยันแสดงขึ้นมา ทั้งที่จริงแล้วเป็นการเปิดใช้งานมาโคร Macro ซึ่งปกติจะถูกปิดเอาไว้เพื่อความปลอดภัย นอกจากนี้ยังมีคำว่า “Document Protected” ซึ่งเป็นการโน้มน้าวให้ผู้ใช้คิดว่ากระบวนการมีความปลอดภัยและเปิดไฟล์
“You’ve got mail”
Spambot จะส่งอีเมลไปยังลูกค้าของ French ISP Orange โดยรับคำสั่งจากเซิร์ฟเวอร์ C&C ข้อความจะเป็นในทำนองว่าคุณได้รับรางวัลต่างๆนาๆ เช่น iPhone X, Samsung Galaxy S9 หรือ S10+ ในราคาถูก เพียงกรอกข้อมูลส่วนตัวและรับสิทธิ ท้ายที่สุดก็คือต้องกรอกรหัสบัตรเครดิต/เดบิต
เราไม่ควรกรอกข้อมูลบัตรเครดิต/เดบิตบนเว็บไซต์ที่น่าสงสัยหรือไม่คุ้นเคย เพราะหลายครั้งที่มิจฉาชีพออนไลน์ใช้โปรโมชั่นเพื่อหลอกล่อให้ผู้ใช้กรอกข้อมูล
แม้ว่า Verenyky จะมีความสามารถในการบันทึกวิดีโอขณะที่เปิดเนื้อหาเกี่ยวกับผู้ใหญ่ แต่ก็ยังไม่มีหลักฐานว่ามีวิดีโอหลุดออกมา แม้ในแผนการข่มขู่ (Sextortion) ก็ไม่พบการใช้งานฟีเจอร์ดังกล่าว
โดยเนื้อหาในอีเมลบอกว่าจะมีการส่งวิดีโอให้กับครอบครัว เพื่อนร่วมงาน หรือโพสต์บนโซเชี่ยลมีเดียหากไม่จ่ายเงินใน 72 ชั่วโมง และการเปลี่ยนรหัสผ่าน ล้างเครื่อง ก็ไม่ช่วยอะไร
Spambot ไม่ได้มีการทำงานที่ซับซ้อนเท่าไหร่นัก แต่การทำงานของมันดูน่าสนใจ และแม้พวกเขาจะอธิบายความสามารถมามากมายแต่หลายอย่างก็ไม่สามารถทำได้จริง เช่น การส่งวิดีโอ
Author: ESET Research
Source: https://www.welivesecurity.com/2019/08/08/varenyky-spambot-campaigns-france/
Translated by: Worapon H.
Share this:
Like this: