Cybersecurity Malware

Varenyky: Spambot สัญชาติฝรั่งเศส

Spambot บอทสแปมสัญชาติฝรั่งเศสที่แทรกซึมเข้าเครื่องผู้ใช้และส่งสแปม

นักวิจัยของ ESET พบแผนการสแปมโจมตีผู้ใช้ในฝรั่งเศศ

จากการตรวจจับของ ESET พบมัลแวร์ที่มีเป้าหมายเป็นผู้ใช้ในฝรั่งเศส และการตรวจสอบเพิ่มเติมก็พบว่าใช้วิธีการแพร่กระจายผ่านสแปมหลายรูปแบบ ซึ่งมีทั้งการทำแบบสำรวจจนกระทั่งการข่มขู่

เราเชื่อว่า Spambot อยู่ระหว่างการพัฒนาเนื่องจากมีการเปลี่ยนแปลงจากครั้งแรกที่พบ ความน่าสนใจของ Spambot ก็คือความสามารถในการขโมยรหัสผ่าน สอดแนมเครื่องเหยื่อด้วยการถ่ายภาพหน้าจอโดยใช้ FFmpeg เพื่อผู้ใช้ค้นหาเนื้อหาเกี่ยวกับผู้ใหญ่ และส่งข้อมูลผ่านเซิร์ฟเวอร์ C&C

การแพร่กระจาย

Varenyky พบครั้งแรกในเมื่อเดือน พฤษภาคม 2019 ควาดว่าพวกเขาใช้อีเมลปลอม (Phishing) ในการแพร่กระจาย

ในอีเมลบอกว่ามีบิลมูลค่า 491.27 ยูโรแนบมา และแนบไฟล์ที่มีคำว่า “facture” ซึ่งแปลว่าบิล ซึ่งจะทำให้ผู้ใช้เปิดไฟล์

ต่อมาจะมีการยืนยันแสดงขึ้นมา ทั้งที่จริงแล้วเป็นการเปิดใช้งานมาโคร Macro ซึ่งปกติจะถูกปิดเอาไว้เพื่อความปลอดภัย นอกจากนี้ยังมีคำว่า “Document Protected” ซึ่งเป็นการโน้มน้าวให้ผู้ใช้คิดว่ากระบวนการมีความปลอดภัยและเปิดไฟล์

“You’ve got mail”

Spambot จะส่งอีเมลไปยังลูกค้าของ French ISP Orange โดยรับคำสั่งจากเซิร์ฟเวอร์ C&C ข้อความจะเป็นในทำนองว่าคุณได้รับรางวัลต่างๆนาๆ เช่น iPhone X, Samsung Galaxy S9 หรือ S10+ ในราคาถูก เพียงกรอกข้อมูลส่วนตัวและรับสิทธิ ท้ายที่สุดก็คือต้องกรอกรหัสบัตรเครดิต/เดบิต

เราไม่ควรกรอกข้อมูลบัตรเครดิต/เดบิตบนเว็บไซต์ที่น่าสงสัยหรือไม่คุ้นเคย เพราะหลายครั้งที่มิจฉาชีพออนไลน์ใช้โปรโมชั่นเพื่อหลอกล่อให้ผู้ใช้กรอกข้อมูล

แม้ว่า Verenyky จะมีความสามารถในการบันทึกวิดีโอขณะที่เปิดเนื้อหาเกี่ยวกับผู้ใหญ่ แต่ก็ยังไม่มีหลักฐานว่ามีวิดีโอหลุดออกมา แม้ในแผนการข่มขู่ (Sextortion) ก็ไม่พบการใช้งานฟีเจอร์ดังกล่าว

โดยเนื้อหาในอีเมลบอกว่าจะมีการส่งวิดีโอให้กับครอบครัว เพื่อนร่วมงาน หรือโพสต์บนโซเชี่ยลมีเดียหากไม่จ่ายเงินใน 72 ชั่วโมง และการเปลี่ยนรหัสผ่าน ล้างเครื่อง ก็ไม่ช่วยอะไร

Spambot ไม่ได้มีการทำงานที่ซับซ้อนเท่าไหร่นัก แต่การทำงานของมันดูน่าสนใจ และแม้พวกเขาจะอธิบายความสามารถมามากมายแต่หลายอย่างก็ไม่สามารถทำได้จริง เช่น การส่งวิดีโอ

Author: ESET Research
Source:
https://www.welivesecurity.com/2019/08/08/varenyky-spambot-campaigns-france/
Translated by: Worapon H.

%d bloggers like this: