ระวังแอป Zoom ปลอม ใช้ใบรับรองที่ถูกแฮกมา

ระวังแอป Zoom ปลอม ใช้ใบรับรองที่ถูกแฮกมาเพื่อลักลอบปล่อยมัลแวร์ลงบนเครื่องเหยื่อ

แอปพลิเคชัน Zoom นั้นถึงแม้ในปัจจุบันจะไม่เป็นที่นิยมมากเท่าในช่วงยุคโควิด แต่ก็ยังคงเป็นแอปพลิเคชันที่บริษัทหลายแห่งนำเอามาใช้ในการประชุมออนไลน์หรือสัมภาษณ์งานอยู่ และด้วยความที่ยังคงเป็นที่นิยมในกลุ่มธุรกิจต่าง ๆ อยู่นี่เอง แฮกเกอร์ก็ได้ฉวยโอกาสจากจุดนี้มาใช้ในการปล่อยมัลแวร์

จากรายงานโดยเว็บไซต์ Hackread ได้กล่าวถึงการตรวจพบแคมเปญการหลอกลวงแบบ Phishing เพื่อปล่อยมัลแวร์ใส่เหยื่อที่เป็นกลุ่มพนักงานออฟฟิศ ด้วยการใช้แอปพลิเคชันปลอมอย่าง Zoom และ Microsoft Teams (รวมทั้งแอปพลิเคชันอ่านเอกสารที่เป็นที่นิยมอย่าง Adove Acrobat) เป็นตัวล่อ เนื่องจากกลุ่มเป้าหมายนั้นมักจะเป็นกลุ่มที่จะต้องมีการประชุมกับทางบริษัท หรือ นัดหมายพูดคุยกับลูกค้าอยู่บ่อย ๆ ซึ่งแคมเปญดังกล่าวถูกตรวจพบในช่วงเดือนกุมภาพันธ์ที่ผ่านมาโดยทางทีมวิจัยจาก Microsoft Defender Security Research Team ซึ่งเป็นหน่วยงานวิจัยที่มุ่งเน้นไปในด้านการค้นคว้าวิธีการรักษาความปลอดภัยไซเบอร์ของทางไมโครซอฟท์

ทางทีมวิจัยได้เผยว่า แคมเปญดังกล่าวนั้นจะเริ่มจากการที่แฮกเกอร์ทำการส่งอีเมล Phishing ในรูปแบบลิงก์นัดหมายประชุม หรือ ไฟล์เอกสารแบบ PDF ที่ถูกเบลอไว้ ซึ่งหลังจากที่กดไปแล้วตัวลิงก์ หรือ ลิงก์ภายในเอกสารก็จะพาไปเว็บไซต์สำหรับดาวน์โหลดแอปพลิเคชันปลอม โดยภายในเว็บไซต์จะหลอกเหยื่อว่า เหยื่อไม่สามารถที่จะเข้าประชุม หรืออ่านเอกสารได้เนื่องจากตัวแอปพลิเคชันที่ใช้งานนั้นเก่าเกินไป ให้ทำการดาวน์โหลดอัปเดตไปติดตั้งด่วน

และเพื่อสร้างความเชื่อถือให้กับไฟล์ติดตั้งอย่างไฟล์ msteams.exe หรือ adobereader.exe ให้ดูไม่เป็นพิษเป็นภัย ตัวไฟล์เหล่านี้ก็จะถูก “เซ็นรับรอง” (Signed) ด้วยใบรับรองที่มีความน่าเชื่อถือ (Trusted Certificate) ที่ถูกแฮกเกอร์แฮกมาใช้งานเอง ซึ่งในแคมเปญนี้จะเป็นการใช้ใบรับรองของ TrustConnect Software PTY LTD. โดยใบรับรองดังกล่าวนั้นเป็นใบรับรองประเภทขยายการตรวจสอบ (Extended Validation) ซึ่งเป็นประเภทของใบรับรองที่มีความน่าเชื่อถือสูงมาก ทำให้ไฟล์ติดตั้งข้างต้นนั้นสามารถฝ่าการบล็อกต่าง ๆ ได้อย่างสบาย

หลังจากที่ไฟล์ดังกล่าวถูกรันและติดตั้งเสร็จเรียบร้อย ก็จะทำไปสู่การติดตั้งเครื่องมือประเภท Remote Monitoring and Management (RMM) ซึ่งปกตินั้นเป็นเครื่องมือสำหรับให้แผนกไอทีตามองค์กรต่าง ๆ ใช้ในการช่วยเหลือแก้ไขปัญหาบนเครื่องให้กับพนักงานในองค์กร แต่ในกรณีนี้นั้นกลับเป็นการใช้งานเครื่องมือเหล่านี้ในการใช้เป็นประตูหลังของระบบ หรือ Backdoor เพื่อให้แฮกเกอร์สามารถเข้าสู่ระบบของบริษัทของเหยื่อได้ตลอดเวลา นอกจากนั้นเพื่อความมั่นใจว่าการโจมตีนี้จะยังคงอยู่ได้อย่างยาวนาน (Persistence) ตัวสคริปท์ PowerShell ที่อยู่ภายในแอปพลิเคชันปลอมก็จะทำการรันขึ้นมาอย่างเงียบเชียบเพื่อติดตั้งเครื่องมือแบบที่ใกล้เคียงกันตัวอื่น ๆ เช่น ScreenConnect และ MeshAgent เพื่อรับประกันว่าถึงผู้ดูแลระบบไอทีของทางบริษัทจะตรวจพบ และลบตัวใดตัวหนึ่งไป ก็จะยังมีทางเลือกอื่นในการเข้าถึงระบบได้อยู่

ซึ่งเมื่อแฮกเกอร์สามารถฝังตัวในระบบผ่านเครื่องมือดังกล่าวได้แล้ว ก็จะนำไปสู่ปฏิบัติการอื่น ๆ ต่อไป เช่น การเข้าขโมยรหัสผ่านต่าง ๆ หรือ การปล่อยมัลแวร์ประเภทเรียกค่าไถ่ หรือ Ransomware ลงสู่ระบบเพื่อทำการข่มขู่เรียกเงินจากบริษัทที่ตกเป็นเหยื่อต่อไป

#ติดเทรนด์ #Lemon8ฮาวทู #lemon8ไดอารี่ #freedomhack #zoom

3/25 แก้ไขเป็น

ในยุคที่เราต้องพึ่งพาเทคโนโลยีเพื่อทำงานจากระยะไกล แอปสำหรับประชุมออนไลน์อย่าง Zoom ยังคงเป็นเครื่องมือสำคัญสำหรับบริษัทและองค์กรต่างๆ แม้ว่าความนิยมจะลดลงจากช่วงโควิด-19 แต่ก็ยังมีการใช้งานอย่างต่อเนื่อง เหตุการณ์แอป Zoom ปลอมที่ถูกเซ็นรับรองด้วยใบรับรองดิจิทัลที่ถูกแฮกมา ช่วยหลอกให้ผู้ใช้ดาวน์โหลดไฟล์ติดตั้งมัลแวร์เป็นการเตือนให้ตระหนักถึงความเสี่ยงใหม่ๆ ที่นักแฮกใช้เทคนิคซับซ้อน เพื่อโจมตีเป้าหมายในองค์กร ประสบการณ์ของหลายคนที่เคยได้รับอีเมลเชิญเข้าประชุมพร้อมไฟล์แนบหรือไฟล์ PDF ที่ดูเหมือนสำคัญ แต่เมื่อเปิดแล้วกลับพบว่ามีลิงก์พาไปยังเว็บไซต์ปลอมเพื่อดาวน์โหลดโปรแกรมอัปเดต ถึงแม้หน้าตาแอปจะเหมือนตัวจริงก็ตาม แต่ความน่ากลัวคือ แอปเหล่านี้ถูกเซ็นรับรองด้วยใบรับรองระดับขยายการตรวจสอบ (Extended Validation) ที่ทำให้ระบบมาตรฐานหลายอย่างมองว่าแอปนี้ปลอดภัย ผู้ใช้จึงไม่ระวังส่งผลให้มัลแวร์สามารถฝังตัวและติดตั้งเครื่องมือ Remote Monitoring and Management (RMM) ซึ่งใช้เป็นช่องทางให้แฮกเกอร์เข้าควบคุมเครื่องและระบบได้ตลอดเวลาอย่างเงียบเชียบ สิ่งที่แนะนำอย่างยิ่งคือการเพิ่มความระมัดระวังในการคลิกลิงก์และดาวน์โหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ ตรวจสอบอีเมลอย่างละเอียดโดยเฉพาะที่เกี่ยวข้องกับการประชุมหรือติดต่อธุรกิจ หากรับไม่ตรงกับปกติหรือมีข้อความผิดเพี้ยน ให้ยืนยันกับผู้ส่งก่อนทุกครั้ง รวมถึงตรวจเช็คความถูกต้องของเว็บไซต์ที่ดาวน์โหลดแอปหรือไฟล์ด้วยเทคนิคเช่นดู URL ว่าตรงกับเว็บไซต์ทางการหรือไม่ นอกจากนั้น องค์กรควรตั้งค่าการรักษาความปลอดภัยของระบบให้เข้มงวด เช่น อัปเดตซอฟต์แวร์อยู่เสมอ ใช้ระบบป้องกันมัลแวร์ที่มีประสิทธิภาพ และให้ความรู้พนักงานเกี่ยวกับเทคนิคการฟิชชิ่งและมัลแวร์จากแอปปลอม เพื่อป้องกันไม่ให้ตกเป็นเหยื่อของการโจมตีที่ซับซ้อนเหล่านี้ได้ในอนาคต การเข้าใจและรู้จักกับภัยคุกคามไซเบอร์รูปแบบใหม่ รวมถึงวิธีการที่แฮกเกอร์ใช้ใบรับรองที่ถูกขโมยมา เป็นสิ่งสำคัญสำหรับทุกคนในยุคดิจิทัล เพื่อให้เราไม่ตกเป็นเหยื่อและก้าวไปพร้อมกับมาตรการรักษาความปลอดภัยที่เข้มแข็งขึ้นอย่างต่อเนื่อง