เครื่องมือเสริม Microsoft Office ปลอมส่งมัลแวร์ผ่าน SourceForge

เครื่องมือเสริม Microsoft Office ปลอมส่งมัลแวร์ผ่าน SourceForge

กลุ่มผู้ไม่ประสงค์ดีได้ใช้แพลตฟอร์ม SourceForge ในการเผยแพร่ปลั๊กอิน Microsoft Office ปลอม ซึ่งแท้จริงแล้วเป็นมัลแวร์ที่ถูกออกแบบมาเพื่อขโมยข้อมูลและขุดคริปโตเคอร์เรนซี (Cryptocurrency) จากผู้ใช้งาน SourceForge เป็นแพลตฟอร์มที่ใช้สำหรับโฮสต์และเผยแพร่ซอฟต์แวร์แบบเปิด (Open Source) ที่ได้รับความนิยม แต่ก็อาจถูกใช้ในทางที่ไม่ถูกต้องได้ อย่างในกรณีนี้ที่มัลแวร์สามารถสร้างความเสียหายได้อย่างแพร่หลาย โดยมีการติดตั้งบนระบบมากกว่า 4,604 เครื่อง ซึ่งส่วนใหญ่เกิดในรัสเซีย

แคมเปญนี้ถูกค้นพบโดย Kaspersky ซึ่งระบุว่ามัลแวร์ดังกล่าวนำเสนอตัวเองเป็นเครื่องมือพัฒนาปลั๊กอิน Microsoft Office ในชื่อ "officepackage" โดยมีการเลียนแบบเนื้อหาและไฟล์ที่เหมือนกับโปรเจกต์ Office-Addin-Scripts ของ Microsoft ที่เผยแพร่บน GitHub มัลแวร์นี้นำเสนอไฟล์ดาวน์โหลดในรูปแบบ ZIP ที่มีรหัสผ่านป้องกัน แต่เมื่อแตกไฟล์ออกมาและติดตั้ง จะมีการรันสคริปต์ VB เพื่อดึงสคริปต์อื่น ๆ จาก GitHub และดำเนินการโจมตี

สิ่งที่มัลแวร์ทำ:
• - ติดตั้งซอฟต์แวร์ขุดคริปโตเคอร์เรนซี ซึ่งใช้ทรัพยากรของเครื่องผู้ใช้งาน
• - ดักจับข้อมูลกระเป๋าคริปโตเคอร์เรนซีที่คัดลอกไว้ใน Clipboard และเปลี่ยนที่อยู่กระเป๋าให้เป็นของผู้โจมตี
• - ส่งข้อมูลเกี่ยวกับระบบที่ติดมัลแวร์ไปยังผู้โจมตีผ่าน Telegram API
• - สร้างความคงทน (Persistence) โดยแก้ไข Registry และเพิ่ม Windows Services ใหม่

เพื่อป้องกันภัยคุกคามเช่นนี้ ผู้ใช้งานควรดาวน์โหลดซอฟต์แวร์จากผู้ให้บริการที่น่าเชื่อถือเท่านั้น เช่น ช่องทางทางการของโครงการ (เช่น GitHub) และตรวจสอบไฟล์ทุกครั้งด้วยซอฟต์แวร์ป้องกันไวรัสที่อัปเดตล่าสุด

ที่มา: bleepingcomputer

ติดต่อสอบถามเกี่ยวกับผลิตภัณฑ์ AntiVirus, DLP, MDM, Laptop, PC, Server, และผลิตภัณฑ์ไอทีอื่นๆอีกมากมายทั้ง Hardware และ Software พร้อมเสนอราคาที่คุ้มค่าและการบริการที่เปี่ยมประสิทธิภาพ

Mobile: 09 5368 5898

Tel: 0 2093 1625

Fax: 0 2093 1675 (Auto)

Email: sales@ampomicrosys.com