ผู้ใช้ Facebook ชาวเวียดนามตกเป็นเป้าหมายของแคมเปญ 'งู' ที่เป็นอันตราย

ตามรายงานของ TechRadar การศึกษาวิจัยใหม่ได้เตือนว่าผู้ร้ายกำลังใช้ประโยชน์จากข้อความของ Facebook เพื่อปรับใช้เครื่องมือขโมยข้อมูลที่ซับซ้อนโดยใช้ Python ชื่อว่า Snake

ด้วยเหตุนี้ นักวิจัยจากบริษัทโซลูชันด้านความปลอดภัย Cybereason จึงได้เปิดเผยรายละเอียดของแคมเปญโจมตีอันตรายนี้ โดยระบุว่าเป้าหมายหลักของ Snake คือการขโมยข้อมูลสำคัญและข้อมูลการเข้าสู่ระบบจากผู้ใช้ที่ไม่รู้เท่าทัน ดูเหมือนว่าแคมเปญนี้จะค่อนข้างใหม่ โดยตรวจพบครั้งแรกในเดือนสิงหาคม 2566 และมีแนวโน้มว่าจะพุ่งเป้าไปที่ผู้ใช้ชาวเวียดนาม

ในแง่ของวิธีการโจมตี ผู้โจมตีจะส่งข้อความที่มีเนื้อหาน่าสงสัย โดยมักจะกล่าวถึงการเปิดเผย วิดีโอ ที่ละเอียดอ่อนของเหยื่อ พร้อมลิงก์สำหรับดาวน์โหลดไฟล์ RAR หรือ ZIP ที่ถูกบีบอัด แม้ว่าจะดูเหมือนไม่เป็นอันตราย แต่เมื่อเปิดไฟล์แล้ว พวกมันจะก่อให้เกิดห่วงโซ่การติดเชื้อที่เกี่ยวข้องกับโปรแกรมดาวน์โหลดมัลแวร์สองตัว ซึ่งรวมถึงสคริปต์แบบแบตช์และสคริปต์คำสั่ง (cmd script) ซึ่งสคริปต์คำสั่งนี้มีหน้าที่ในการเรียกใช้เครื่องมือขโมยข้อมูล Snake จากคลังข้อมูล GitLab ที่ผู้โจมตีควบคุม

Người dùng Facebook Việt Nam đang là mục tiêu của chiến dịch độc hại 'Snake'- Ảnh 1. — ข้อความที่มีลิงก์อันตรายแพร่กระจายผ่านข้อความ Facebook

Cybereason ได้ระบุตัวแปรของ Snake สามตัว โดยตัวที่สามเป็นไฟล์ปฏิบัติการที่สร้างขึ้นโดย PyInstaller และมุ่งเป้าไปที่ผู้ใช้เบราว์เซอร์ Cốc Cốc ซึ่งเป็นที่นิยมในเวียดนาม

เมื่อรวบรวมข้อมูลแล้ว ข้อมูลการเข้าสู่ระบบและคุกกี้จะถูกแชร์ไปยังหลายแพลตฟอร์ม รวมถึง Discord, GitHub และ Telegram มัลแวร์ยังกำหนดเป้าหมายบัญชี Facebook ด้วยการดึงข้อมูลคุกกี้ ซึ่งอาจบ่งชี้ว่าการยึดบัญชีดังกล่าวมีจุดประสงค์เพื่อแพร่กระจายมัลแวร์

แคมเปญนี้ดูเหมือนจะเชื่อมโยงกับแฮกเกอร์จากเวียดนาม เนื่องจากมีการระบุชื่อแบบแผนการตั้งชื่อของที่เก็บข้อมูลที่ถูกควบคุมโดยผู้โจมตีว่ามีการอ้างอิงเป็นภาษาเวียดนามในโค้ดต้นฉบับ เช่น 'hoang.exe' หรือ 'hoangtuan.exe' หรือลิงก์ GitLab ที่ดูเหมือนจะเกี่ยวข้องกับชื่อ 'Khoi Nguyen'

Cybereason ยังสังเกตด้วยว่ามัลแวร์ยังกำหนดเป้าหมายไปที่เบราว์เซอร์อื่นๆ เช่น Brave, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox และ Opera อีกด้วย

การค้นพบนี้เกิดขึ้นท่ามกลางการตรวจสอบที่เพิ่มมากขึ้นของ Facebook เกี่ยวกับการที่ Facebook มองว่าขาดการสนับสนุนเหยื่อที่ถูกแฮ็กบัญชี เพื่อป้องกันตนเอง ผู้ใช้ควรระมัดระวังด้านความปลอดภัย โดยเฉพาะอย่างยิ่งการใช้รหัสผ่านที่ซับซ้อนและการยืนยันตัวตนแบบสองปัจจัย (2FA)

ลิงค์ที่มา