แจ้งเตือนภัย! มัลแวร์ SocGholish ใช้เครื่องมือโฆษณาเป็นช่องทางแพร่ระบาด เปิดประตูให้แรนซัมแวร์ LockBit และกลุ่มแฮกเกอร์ระดับโลก
กลุ่มผู้ไม่หวังดีที่อยู่เบื้องหลังมัลแวร์ SocGholish กำลังใช้เทคนิคใหม่ที่น่ากังวล โดยอาศัยเครื่องมือที่เรียกว่า "ระบบกระจายทราฟฟิก" (Traffic Distribution Systems - TDS) อย่าง Parrot TDS และ Keitaro TDS เพื่อคัดกรองและส่งต่อผู้ใช้งานที่ไม่ทันระวังตัวไปยังเว็บไซต์อันตราย
Silent Push บริษัทด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยในบทวิเคราะห์ว่า "หัวใจหลักในการปฏิบัติการของแฮกเกอร์กลุ่มนี้คือโมเดลธุรกิจที่เรียกว่า 'มัลแวร์ในรูปแบบบริการ' (Malware-as-a-Service - MaaS) ซึ่งพวกเขาจะนำคอมพิวเตอร์ที่ติดเชื้อไปขายต่อให้กับองค์กรอาชญากรรมไซเบอร์อื่น ๆ เพื่อใช้เป็นช่องทางแรกในการเจาะเข้าระบบ"
SocGholish คืออะไร?
SocGholish หรือที่รู้จักกันในอีกชื่อว่า FakeUpdates (อัปเดตปลอม) เป็นมัลแวร์ประเภทโหลดเดอร์ (Loader) ที่เขียนด้วยภาษา JavaScript มันแพร่กระจายผ่านเว็บไซต์ทั่วไปที่ถูกแฮก โดยจะปลอมตัวเป็นหน้าต่างแจ้งเตือนให้อัปเดตซอฟต์แวร์ยอดนิยม เช่น เว็บเบราว์เซอร์ Google Chrome, Mozilla Firefox หรือโปรแกรมอย่าง Adobe Flash Player และ Microsoft Teams
มัลแวร์ตัวนี้ถูกเชื่อมโยงกับกลุ่มแฮกเกอร์ที่ชื่อว่า TA569 ซึ่งเป็นที่รู้จักในหลายชื่อ เช่น Gold Prelude หรือ Mustard Tempest
ช่องทางสู่ภัยคุกคามที่ใหญ่กว่า
กระบวนการโจมตีของ SocGholish คือการเข้าไปติดตั้งตัวเองในเครื่องของเหยื่อเพื่อ "เปิดประตู" หรือสร้างช่องทางเข้าถึงระบบ จากนั้นจะนำสิทธิ์การเข้าถึงนี้ไปขายต่อให้กับลูกค้าซึ่งเป็นกลุ่มอาชญากรไซเบอร์รายใหญ่ ไม่ว่าจะเป็น Evil Corp, แก๊งแรนซัมแวร์ชื่อดังอย่าง LockBit, กลุ่ม Dridex และ Raspberry Robin ที่น่าสนใจคือ ในช่วงหลังมานี้ Raspberry Robin ไม่ได้เป็นแค่ลูกค้า แต่ยังทำหน้าที่เป็นผู้ช่วยแพร่กระจาย SocGholish อีกด้วย
วิธีการแพร่เชื้อหลัก ๆ มี 2 รูปแบบ คือ:
แฝงโค้ดโดยตรง: แฮกเกอร์จะนำโค้ดอันตรายไปฝังไว้ในเว็บไซต์ที่ถูกเจาะระบบ เมื่อมีคนเข้าเว็บนั้น มัลแวร์ก็จะถูกโหลดเข้าเครื่องทันที
ใช้ระบบ TDS: ใช้บริการจากภายนอกอย่าง Parrot TDS และ Keitaro TDS เพื่อคัดกรองผู้เข้าชมเว็บไซต์ หากพบว่าเหยื่อมีลักษณะที่น่าสนใจ (เช่น มาจากองค์กรขนาดใหญ่) ระบบจะส่งต่อไปยังหน้าเว็บที่ฝังมัลแวร์โดยเฉพาะ
ความท้าทายในการป้องกัน
Keitaro TDS เป็นเครื่องมือที่มีการใช้งานทั้งในทางที่ถูกกฎหมายและผิดกฎหมาย ทำให้การบล็อกทราฟฟิกจากบริการนี้ทำได้ยากมาก เพราะอาจส่งผลกระทบต่อผู้ใช้งานทั่วไปที่ไม่ได้เกี่ยวข้อง (False Positives)
ระบบสั่งการและควบคุม (C2) ของ SocGholish ยังมีความฉลาดอย่างมาก โดยจะตรวจสอบเหยื่อตลอดกระบวนการ หากระบบพบว่าเหยื่อไม่ใช่เป้าหมายที่ "น่าสนใจ" หรืออาจเป็นนักวิจัยด้านความปลอดภัย ระบบจะหยุดส่งมัลแวร์ตัวจริงทันทีเพื่อป้องกันตัวเองจากการถูกตรวจจับ
ภัยคุกคามอื่น ๆ ที่เกี่ยวข้อง
การเปิดเผยครั้งนี้เกิดขึ้นในช่วงเวลาเดียวกับที่มีรายงานการอัปเกรดของมัลแวร์ตัวอื่น ๆ เช่น:
Raspberry Robin: เวอร์ชันใหม่มีการเข้ารหัสและเทคนิคการซ่อนตัวที่ดีขึ้นเพื่อหลบเลี่ยงการตรวจจับ และยังเพิ่มช่องโหว่ใหม่เพื่อยกระดับสิทธิ์ของตัวเองในเครื่องของเหยื่อได้
DarkCloud Stealer: มัลแวร์ขโมยข้อมูลที่ใช้วิธีส่งอีเมลหลอกลวง (Phishing) ให้เหยื่อเปิดไฟล์แนบ ซึ่งจะไปดาวน์โหลดมัลแวร์ที่ซ่อนอยู่ในไฟล์รูปภาพ JPEG จากเว็บไซต์ The Internet Archive เพื่อขโมยข้อมูลสำคัญ เช่น รหัสผ่าน ข้อมูลบัตรเครดิต และรายชื่อผู้ติดต่อในอีเมล
เหตุการณ์ทั้งหมดนี้ชี้ให้เห็นว่ากลุ่มอาชญากรไซเบอร์กำลังมีวิวัฒนาการและทำงานร่วมกันเป็นระบบนิเวศที่ซับซ้อนมากขึ้น การป้องกันตัวเองด้วยการอัปเดตซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุดเสมอ และการระมัดระวังในการคลิกลิงก์หรือดาวน์โหลดไฟล์ที่ไม่น่าไว้วางใจจึงเป็นสิ่งสำคัญอย่างยิ่ง
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก