แฮกเกอร์ใช้โฆษณา Facebook หลอกติดตั้งแอปเทรดคริปโตปลอม! แฝงมัลแวร์ JSCEAL ขโมยข้อมูล
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ออกมาเตือนถึงแคมเปญโจมตีที่กำลังดำเนินอยู่ โดยแฮกเกอร์ได้เผยแพร่แอปพลิเคชันซื้อขายสกุลเงินดิจิทัล (Cryptocurrency) ปลอม เพื่อติดตั้งมัลแวร์ที่เขียนด้วย JavaScript ชนิดคอมไพล์ (JSC) ที่มีชื่อว่า JSCEAL ซึ่งมีความสามารถในการดักจับข้อมูลส่วนตัวและข้อมูลกระเป๋าเงินดิจิทัล
บริษัท Check Point รายงานว่า กลุ่มผู้โจมตีได้ใช้โฆษณาที่เป็นอันตรายหลายพันรายการบนแพลตฟอร์ม Facebook เพื่อล่อลวงให้เหยื่อที่ไม่ทันระวังตัวเข้าไปยังเว็บไซต์ปลอม และหลอกให้ติดตั้งแอปพลิเคชันอันตรายดังกล่าว โดยโฆษณาเหล่านี้ถูกเผยแพร่ผ่านบัญชีผู้ใช้ที่ถูกขโมยมา หรือบัญชีที่สร้างขึ้นใหม่
"ผู้โจมตีได้แยกการทำงานของตัวติดตั้งออกเป็นส่วนๆ และที่สำคัญคือได้ย้ายฟังก์ชันการทำงานบางส่วนไปไว้ในไฟล์ JavaScript ที่อยู่บนเว็บไซต์ที่ติดมัลแวร์" Check Point กล่าวในบทวิเคราะห์ "กระบวนการโจมตีแบบแยกส่วนและซ้อนกันหลายชั้นนี้ ช่วยให้ผู้โจมตีสามารถปรับเปลี่ยนกลยุทธ์และเพย์โหลด (payload) ได้ในทุกขั้นตอนของการปฏิบัติการ"
เป็นที่น่าสังเกตว่า รูปแบบการโจมตีบางส่วนเคยถูกบันทึกไว้โดย Microsoft เมื่อเดือนเมษายน 2568 และล่าสุดโดยบริษัท WithSecure ในเดือนนี้ (กรกฎาคม 2568) ซึ่งทาง WithSecure ได้ติดตามแคมเปญนี้ภายใต้ชื่อ WEEVILPROXY และระบุว่าแคมเปญนี้เริ่มปฏิบัติการมาตั้งแต่เดือนมีนาคม 2567
กลไกการโจมตีที่ซับซ้อน
กระบวนการโจมตีได้นำกลไกป้องกันการวิเคราะห์รูปแบบใหม่มาใช้ โดยอาศัยการตรวจสอบข้อมูลจำเพาะของเครื่องเป้าหมาย (script-based fingerprinting) ก่อนที่จะส่งเพย์โหลดสุดท้ายซึ่งก็คือมัลแวร์ JSC
"กลุ่มผู้โจมตีได้ใช้กลไกที่เป็นเอกลักษณ์ซึ่งกำหนดให้ทั้งเว็บไซต์อันตรายและตัวติดตั้งต้องทำงานพร้อมกันเพื่อให้การโจมตีสำเร็จ ซึ่งทำให้การวิเคราะห์และตรวจจับทำได้ยากขึ้นอย่างมาก" บริษัทความปลอดภัยจากอิสราเอลระบุ
เมื่อเหยื่อคลิกลิงก์ในโฆษณาบน Facebook จะถูกส่งต่อไปยังหน้าเว็บปลอมที่เลียนแบบบริการที่ถูกกฎหมายอย่าง TradingView หรือเว็บไซต์ล่อลวงอื่นๆ หากที่อยู่ IP ของเป้าหมายไม่ได้อยู่ในพื้นที่ที่ต้องการ หรือไม่ได้เข้ามาจาก Facebook โดยตรง เว็บไซต์ดังกล่าวจะมีไฟล์ JavaScript ที่พยายามสื่อสารกับเซิร์ฟเวอร์ภายในเครื่อง (localhost) ผ่านพอร์ต 30303 และยังมีสคริปต์อีกสองตัวที่ทำหน้าที่ติดตามกระบวนการติดตั้งและส่งคำขอ (POST requests) ไปยังส่วนประกอบภายในไฟล์ติดตั้ง MSI
ไฟล์ติดตั้งที่ดาวน์โหลดมาจะแตกไฟล์ไลบรารี DLL จำนวนหนึ่งออกมา พร้อมกับเปิด HTTP listeners บน localhost:30303 เพื่อรอรับคำขอจากเว็บไซต์ปลอม การทำงานที่ต้องพึ่งพากันและกันนี้หมายความว่า หากส่วนประกอบใดส่วนหนึ่งไม่ทำงาน กระบวนการโจมตีทั้งหมดก็จะล้มเหลว
เพื่อไม่ให้เหยื่อสงสัย ตัวติดตั้งจะเปิดหน้าเว็บของแอปพลิเคชันจริงขึ้นมาใน webview เพื่อหลอกให้ตายใจ
มัลแวร์ JSCEAL: ตัวร้ายที่ควบคุมได้ทุกอย่าง
โมดูล DLL จะทำหน้าที่รวบรวมข้อมูลระบบและเริ่มกระบวนการตรวจสอบข้อมูลเครื่องเป้าหมาย จากนั้นจะส่งข้อมูลที่รวบรวมได้ในรูปแบบไฟล์ JSON กลับไปยังผู้โจมตีผ่าน PowerShell backdoor
หากเครื่องของเหยื่อถูกพิจารณาว่า "มีค่า" กระบวนการโจมตีจะเข้าสู่ขั้นตอนสุดท้าย คือการรันมัลแวร์ JSCEAL โดยใช้ Node.js โดยมัลแวร์ตัวนี้จะเชื่อมต่อกับเซิร์ฟเวอร์ระยะไกลเพื่อรอรับคำสั่งเพิ่มเติม และตั้งค่าพร็อกซี่ (proxy) บนเครื่องของเหยื่อเพื่อดักจับการใช้งานอินเทอร์เน็ต และแทรกสคริปต์ที่เป็นอันตรายเข้าไปในเว็บไซต์ของธนาคาร, เว็บเทรดคริปโต และเว็บไซต์ที่ละเอียดอ่อนอื่นๆ เพื่อขโมยข้อมูลการล็อกอินแบบเรียลไทม์
นอกจากนี้ JSCEAL ยังมีความสามารถอื่นๆ อีกมากมาย เช่น:
รวบรวมข้อมูลระบบ, คุกกี้ของเบราว์เซอร์, รหัสผ่านที่บันทึกไว้
ขโมยข้อมูลบัญชี Telegram
จับภาพหน้าจอ (screenshots) และบันทึกการกดคีย์บอร์ด (keystrokes)
ทำการโจมตีแบบ Adversary-in-the-Middle (AitM)
ควบคุมและเปลี่ยนแปลงข้อมูลในกระเป๋าเงินดิจิทัล
ทำหน้าที่เป็นโทรจันที่สามารถควบคุมเครื่องจากระยะไกลได้ (Remote Access Trojan)
"นี่คือมัลแวร์ที่มีความซับซ้อนสูง ถูกออกแบบมาเพื่อเข้าควบคุมเครื่องของเหยื่อได้อย่างสมบูรณ์ ขณะเดียวกันก็สามารถต้านทานเครื่องมือรักษาความปลอดภัยทั่วไปได้" Check Point สรุป "การผสมผสานระหว่างโค้ดที่คอมไพล์แล้วกับการอำพรางโค้ดอย่างซับซ้อน พร้อมด้วยฟังก์ชันการทำงานที่หลากหลาย ทำให้การวิเคราะห์เป็นไปอย่างท้าทายและใช้เวลานาน"
"การใช้ไฟล์ JSC ช่วยให้ผู้โจมตีสามารถซ่อนโค้ดของตนเองได้อย่างง่ายดายและมีประสิทธิภาพ ช่วยให้มันหลบเลี่ยงกลไกความปลอดภัยและทำให้การวิเคราะห์ทำได้ยาก"
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก