News & Events

Back

ควรระวัง! มัลแวร์ FacexWorm หลอกติดตั้ง Chrome Extension กำลังแพร่ผ่าน Facebook Messenger

03-05-2018 IT-news -

ควรระวัง! มัลแวร์ FacexWorm หลอกติดตั้ง Chrome Extension กำลังแพร่ผ่าน Facebook Messenger

            ผู้ใช้ Facebook, Chrome และ Cryptocurrency ควรคอยระวังภัยคุกคามมัลแวร์ตัวใหม่ที่มีชื่อว่า FacexWorm ถูกค้นพบเมื่อปลายเดือนเมษายนที่ผ่านมาโดยนักวิจัยของ Trend Micro ซึ่งหากผู้ใช้คนใดตกเป็นเหยื่อของมัลแวร์ตัวนี้อาจจะถูกขโมยรหัสผ่าน ขโมยเงิน Cryptocurrency, สแปมผู้ใช้ Facebook และรันสคริปต์ Cryptojacking

            โดยมัลแวร์ตัวนี้ได้ปรากฏให้นักวิจัยเห็นใน Facebook Messenger ถึง 2 ครั้งด้วย ครั้งแรกคือเมื่อเดือนสิงหาคม และครั้งที่สองเมื่อเดือนธันวาคมปีที่แล้วหลังจากที่มีการแพร่กระจายของมัลแวร์ Digmine ซึ่งวิธีการทำงานก็คล้าย ๆ กับการหลอกล่อทั่ว ๆ ไปที่เคยเกิดขึ้น

            Trend Micro ได้กล่าวว่าหลังจากทำการวิเคราะห์ส่วนขยาย (Chrome extension) ดังกล่าว พบว่ามีฟังก์ชั่นที่เป็นอันตรายจำนวนมาก

  • มันจะทำการเพิ่ม Code ไปยัง Chrome browser ของผู้ใช้เพื่อทำการขโมยข้อมูล Credentials จากฟอร์มการเข้าสู่ระบบ แต่การทำงานของมันไม่ได้ใช้งานกับทุกเว็บไซต์ แต่จะทำงานเมื่อผู้ใช้เข้าถึงบัญชีส่วนตัวในบางเว็บไซต์เท่านั้น โดยข้อมูลที่ได้จะทำการเก็บรวบรวมไปยังเซิร์ฟเวอร์ของ FacexWorm gang
  • มัลแวร์ FacexWorm จะทำการเปลี่ยนเส้นทางการเข้าเว็บไซต์ของผู้ใช้ไปยังหน้าอื่นอัตโนมัติ และจะทำการส่งอีเมล เพื่อให้ผู้ใช้ตรวจสอบบัญชีของตน แต่การเปลี่ยนเส้นทางจะเกิดขึ้นเฉพาะเมื่อผู้ใช้พยายามเข้าถึงเว็บไซต์ที่เกี่ยวข้องกับ Cryptocurrency เท่านั้น (ซึ่งมีอยู่ประมาณ 52 เว็บไซต์ที่มี URL ประกอบไปด้วยคำต่าง ๆ เช่น 'eth' 'ethereum' หรือ 'blockchain' เป็นต้น
  • ทำการฝัง Cryptojacking Script เพื่อขุดเหมือง
  • เปลี่ยนข้อมูลผู้รับสำหรับการทำธุรกรรม cryptocurrency ในแพลตฟอร์มการซื้อขายต่าง ๆ
  • เมื่อผู้ใช้พยายามเข้าถึงเว็บไซต์บางแห่งส่วนขยายที่มีมัลแวร์ FacexWorm จะทำการ Referral URLs โดยเปลี่ยนเส้นทางผู้ใช้ไปยังอีกเว็บไซต์หนึ่ง ซึ่งเป็นอีกหนึ่งวิธีที่ทำให้ผู้สร้างมัลแวร์ได้รับเงินค่าตอบแทนจากเว็บไซต์นั้น ๆ

           โดยปกติมัลแวร์จะแพร่กระจายได้นั้นเกิดจากผู้ใช้ได้รับสแปมลิงก์ต่อเป็นทอด ๆ ซึ่งตัวผู้ใช้ส่วนใหญ่ก็ไม่รู้ตัว ในครั้งนี้ก็เช่นเดียวกันผู้ใช้จะได้รับสแปมลิงก์จาก Facebook Messenger พอผู้ใช้คลิกลิงก์นั้น มันจะพาผู้ใช้ไปยังหน้าเว็บไซต์ที่มีการเลียนแบบ YouTube  โดยจะทำการหลอกล่อให้ผู้ใช้ติดตั้งส่วนขยายของ Chrome ดังนั้นช่วงนี้ผู้ใช้ควรระหวังจากเข้าใช้โปรแกรมแชท และเบราว์เซอร์ดังกล่าว เพื่อความปลอดภัยสำหรับข้อมูลของตนเอง

 

Source : bleepingcomputer

 

บอกต่อ : 
ข่าวที่แนะนำ

Back