แฮกเกอร์ใช้ Google Ads ควบแชร์แชตจาก Claude.ai
ตรวจพบแฮกเกอร์ใช้ Google Ads ควบแชร์แชตจาก Claude.ai ในการทำโฆษณาปลอมปล่อยมัลแวร์
จากรายงานโดยเว็บไซต์ Bleeping Computer ได้กล่าวถึงการตรวจพบแคมเปญ Malvertising แคมเปญใหม่ที่ใช้ระบบโฆษณา Google Ads ร่วมกับระบบแชร์แชท (Chat Sharing) ของเครื่องมือปัญญาประดิษฐ์ หรือ AI (Artificial Intelligence) อย่าง Claude.ai มาใช้งานเพื่อแพร่กระจายมัลแวร์ไปยังกลุ่มผู้ที่ใช้งานระบบปฏิบัติการ macOS ที่มีการค้นหาว่า "Claude mac download" ซึ่งด้วยการใช้งาน Chat Sharing ของตัว Claude นั้นจะทำให้เหยื่อมองเห็น URL บนโฆษณาเป็น claude.ai จนหลงติดกับ เข้าไปดาวน์โหลดแอปพลิเคชันแฝงมัลแวร์ลงมาบนเครื่องในท้ายที่สุด
โดยในการนี้ นักวิจัยจาก Trendyol Group บริษัทด้านอีคอมเมิร์ซ (eCommerce) จากประเทศตุรกี กล่าวว่า ตัวแคมเปญนั้นหลังจากที่เหยื่อกดลิงก์เข้าไป จะพบกับแชทของ Claude ที่ทำเสมือนกับคำแนะนำวิธีติดตั้ง โดยตัวคำแนะนำนั้นจะขอให้เหยื่อทำการเปิดแอป Terminal ขึ้นมาเพื่อรันคำสั่ง (Command) โดยอ้างว่าเป็นการติดตั้งแอปพลิเคชัน Claude แต่แท้จริงนั้นเป็นการติดตั้งมัลแวร์ลงสู่เครื่อง ซึ่งนอกจากแคมเปญที่ทางนักวิจัยรายนี้พบแล้ว ทางแหล่งข่าว (Bleeping Computer) ก็ได้พบอีกแคมเปญหนึ่งที่มีลักษณะแตกต่างกันเล็กน้อยในช่วงของการดาวน์โหลดไฟล์มัลแวร์ (Payload) ลงมาบนเครื่อง กล่าวคือ
แคมเปญที่ทางนักวิจัย��พบนั้น จะดาวน์โหลดไฟล์ Payload มาจาก hxxp://customroofingcontractors[.]com/curl/b42a0ed9d1ecb72e42d6034502c304845d98805481d99cea4e259359f9ab206e
ขณะที่แคมเปญที่ทางแหล่งข่าวพบนั้น จะดาวน์โหลดมาจาก hxxps://bernasibutuwqu2[.]com/debug/loader.sh?build=a39427f9d5bfda11277f1a58c89b7c2d
ซึ่งแคมเปญหลังนั้นชัดเจนว่าเป็นไฟล์สคริปท์ PowerShell ที่ถูกบีบอัดด้วย Gunzip ที่มีชื่อว่า 'loader.sh' โดยสคริปท์ตัวนี้จะทำการรันบนหน่วยความจำโดยตรง (In-Memory Execution) ทำให้เหลือร่องรอยให้ตรวจจับบนระบบน้อยมาก นอกจากนั้นเมื่อเจาะลึกเข้าไปแล้วพบว่า ตัวเซิร์ฟเวอร์นั้นเมื่อได้รับคำขอ (Request) ในการดาวน์โหลดตัว Payload ลงมาบนเครื่องนั้น ทุกครั้งเซิร์ฟเวอร์จะส่งเวอร์ชันที่มีการแทรกโค้ดเพื่อสร้างความสับสนให้กับระบบตรวจจับ (Obfuscation) ลงมา ทำให้เครื่องมือตรวจจับประเภทตรวจจับเอกลักษณ์ของมัลแวร์ (Signature Analysis) ตรวจจับได้ยากอีกด้วย
ในด้านการทำงานของมัลแวร์นั้น จะเริ่ม��จากการตรวจสอบว่าเครื่องของเหยื่อนั้นได้มีการใช้งานภาษารัสเซีย หรือภาษาในกลุ่มเครือรัฐอิสระ (CIS หรือ Commonwealth of Independent States) หรือไม่ โดยถ้าตรวจพบก็จะหยุดทำงานทันทีด้วยการส่ง Ping ว่า cis_blocked กลับไปยังเซิร์ฟเวอร์ แต่ถ้าไม่ ตัวสคริปท์มัลแวร์ก็จะทำงานในขั้นตอนต่อไป ด้วยการเก็บข้อมูลต่าง ๆ ของเหยื่อ เช่น หมายเลขไอพีภายนอก (External IP), ชื่อโฮสต์ (Hostname), เวอร์ชันของระบบปฏิบัติการที่ใช้งานอยู่, และรายละเอียดภาษาบนคีย์บอร์ด ส่งกลับไปยังเซิร์ฟเวอร์
จากนั้นสคริปท์ก็จะทำการดาวน์โหลด Payload ตัวที่ 2 ลงมาติดตั้งโดยการใช้เครื่องมือสำหรับรันสคริปท์บน macOS อย่าง osascript มาใช้งานรัน Payload ดังกล่าว ซึ่งนับเป็นวิธีการรันโค้ดจากระยะไกล (RCE หรือ Remote Code Execution) ในรูปแบบหนึ่งโดยที่ไม่ต้องปล่อยไฟล์สำหรับการรันบนเครื่อง (Binary) ลงมาเลย โดยมัลแวร์ดังกล่าวนั้นพบว่าเป็นมัลแวร์สายพันธุ์ย่อยของ MacSync ซึ่งเป็นมัลแวร์ประเภทขโมยข้อมูลจากระบบ หรือ Infostealer ซึ่งมัลแวร์นี้มีความสามารถในการขโมยรหัสผ่าน, ไฟล์ Cookies, และข้อมูลรหัสผ่านที่บันทึกไว้บน macOS Keychain โดยข้อมูลเหล่านี้จะถูกแพ็ครวมเป็นแพ็คเกจเดียวกัน แล้วแอบส่ง (Exfiltration) กลับไปยังเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ซึ่งคาดว่าจะตั้งอยู่บนโดเมน briskinternet[.]com โดยคาดการณ์จากตัวสคริปท์ของมัลแวร์ที่ตรวจพบ
