ระวังโปรแกรมแปลง PDF ออนไลน์ที่หลอกผู้ใช้ให้ติดตั้งมัลแวร์ขโมยรหัสผ่าน
ระวังโปรแกรมแปลง PDF ออนไลน์ที่หลอกผู้ใช้ให้ติดตั้งมัลแวร์ขโมยรหัสผ่าน
แฮกเกอร์ได้เปิดตัวแคมเปญมัลแวร์ที่ซับซ้อน โดยใช้เว็บไซต์แปลงไฟล์จาก PDF เป็น DOCX ที่ปลอมแปลงเป็นบริการยอดนิยมอย่าง PDFCandy เพื่อหลอกให้ผู้ใช้ที่ต้องการแปลงเอกสารเข้าไปใช้บริการบนเว็บไซต์ปลอมเหล่านี้ ซึ่งรวมไปถึงโดเมนชื่ออย่าง candyxpdf.com และ candyconverterpdf.com
ในขั้นตอนของการโจมตี เมื่อผู้ใช้ทำการอัปโหลดไฟล์เพื่อแปลงพวกเขาจะพบกับอินเทอร์เฟซที่ดูน่าเชื่อถือ ทั้งมีการแสดงผลลำดับการโหลดแบบแอนิเมชันและเลือกตั้งค่าการแปลงไฟล์ที่คุ้นเคย แต่หลังจากนั้นผู้ใช้จะถูกเปลี่ยนเส้นทางให้ผ่านการตรวจสอบ CAPTCHA เทียมที่แนะนำให้กดแป้นพิมพ์ Windows+R แล้ววางคำสั่ง PowerShell ที่ถูกเข้ารหัสไว้ เมื่อดำเนินการตามคำแนะนำนี้จะทำหน้าที่เปิดการติดเชื้อแบบ multi-stage โดยคำสั่งนั้นจะเรียกใช้งาน “adobe.zip” ซึ่งเป็นชุดไฟล์ที่มีโปรแกรมที่ชื่อว่า audiobit.exe และจากนั้นจะโหลดมัลแวร์ ArechClient2 อัตโนมัติ
จากการวิเคราะห์โดยนักวิจัยจาก CloudSEK พบว่ามัลแวร์ตัวนี้เป็นสายพันธุ์หนึ่งของกลุ่ม SectopRAT ซึ่งมีการใช้งานมาตั้งแต่ปี 2019 การโจมตีใช้กระบวนการเปลี่ยนเส้นทางหลายขั้นตอน โดยมีโดเมนตัวกลางอย่าง “bind-new-connect.click” เพื่อเชื่อมต่อและดาวน์โหลด payload จากเซิร์ฟเวอร์ที่โฮสต์ไฟล์มัลแวร์ที่อยู่บน IP address 172.86.115.43
มัลแวร์นี้ถูกออกแบบมาโดยมีความสามารถในการขโมยข้อมูลสำคัญจากระบบของผู้ใช้งาน เช่น การดักจับรหัสผ่านที่เก็บไว้ในเบราว์เซอร์ ข้อมูลของกระเป๋าเงินคริปโตเคอร์เรนซี และข้อมูลที่ละเอียดอ่อนอื่น ๆ อีกทั้งยังใช้เทคนิคหลบเลี่ยงมาตรการรักษาความปลอดภัยผ่านการใช้งานเครื่องมือของ Windows ที่เป็นมาตรฐาน
ในส่วนของการป้องกัน ผู้เชี่ยวชาญแนะนำให้ผู้ใช้ระมัดระวังและใช้เครื่องมือแปลงไฟล์เฉพาะที่มาจากแหล่งที่น่าเชื่อถืออย่างเป็นทางการ หากมีเว็บไซต์ร้องขอให้รันคำสั่งหรือแปะคำสั่งใน Command Line ควรตรวจสอบให้ดีว่าหน้าเว็บไซต์นั้นมาจากแหล่งที่มีความน่าเชื่อถือจริงๆ เพื่อป้องกันการติดเชื้อมัลแวร์ที่มีเป้าหมายขโมยข้อมูลส่วนบุคคลและข้อมูลสำคัญอื่นๆ ในระบบของตน
ที่มา: Cybersecuritynews
ติดต่อสอบถามเกี่ยวกับผลิตภัณฑ์ AntiVirus, DLP, MDM, Laptop, PC, Server, และผลิตภัณฑ์ไอทีอื่นๆอีกมากมายทั้ง Hardware และ Software พร้อมเสนอราคาที่คุ้มค่าและการบริการที่เปี่ยมประสิทธิภาพ
Mobile: 09 5368 5898
Tel: 0 2093 1625
Fax: 0 2093 1675 (Auto)
Email: sales@ampomicrosys.com
Latest Articles
ยกระดับการป้องกันของคุณ: MSP และ MDR ร่วมกันเสริมสร้างความปลอดภัยด้าน IT ของคุณอย่างไร
เจ้าหน้าที่เนเธอร์แลนด์ระบุตัวผู้ก่ออาชญากรรมไซเบอร์รายใหม่ชาวรัสเซีย “Laundry Bear” ที่กำลังเล็งเป้าไปที่นาโต้
เหตุผล เบื้องหลัง Bitdefender GravityZone PHASR – นวัตกรรมที่ไม่เคยมีมาก่อน
เครื่องมือ Defendnot ใหม่หลอก Windows ให้ปิดการใช้งาน Microsoft Defender
จาก 60 เป็น 4,000: ระบบ Locked Shield ของ NATO สะท้อนการเติบโตของระบบป้องกันไซเบอร์
