ผู้ใช้ Facebook ชาวเวียดนามตกเป็นเป้าหมายของแคมเปญ 'งู' ที่เป็นอันตราย

ตามรายงานของ TechRadar การศึกษาวิจัยใหม่ได้เตือนว่าผู้ไม่หวังดีกำลังแสวงหาประโยชน์จากข้อความของ Facebook เพื่อใช้เครื่องมือขโมยข้อมูลที่ซับซ้อนโดยใช้ Python ที่ชื่อว่า Snake

ด้วยเหตุนี้ นักวิจัยจากบริษัทโซลูชันด้านความปลอดภัย Cybereason จึงได้เปิดเผยรายละเอียดเกี่ยวกับแคมเปญโจมตีอันตรายนี้ โดยบอกว่าเป้าหมายหลักของ Snake คือการขโมยข้อมูลที่ละเอียดอ่อนและข้อมูลการเข้าสู่ระบบจากผู้ใช้ที่ไม่บริสุทธิ์ ดูเหมือนว่านี่จะเป็นแคมเปญใหม่ที่ค่อนข้างใหม่ โดยตรวจพบครั้งแรกเมื่อเดือนสิงหาคม 2023 และดูเหมือนว่าจะมุ่งเป้าไปที่ผู้ใช้ชาวเวียดนาม

เกี่ยวกับวิธีการโจมตี ผู้โจมตีจะส่งข้อความที่มีเนื้อหาที่น่าสงสัย โดยมักจะระบุว่าวิดีโอที่ละเอียดอ่อนของเหยื่อถูกเปิดเผย พร้อมลิงก์สำหรับดาวน์โหลดไฟล์ RAR หรือ ZIP ที่ถูกบีบอัด แม้จะดูเหมือนไม่เป็นอันตราย แต่เมื่อเปิดออกมาแล้วจะกระตุ้นให้เกิดการติดเชื้อแบบต่อเนื่องซึ่งเกี่ยวข้องกับตัวดาวน์โหลดมัลแวร์ 2 ตัว รวมถึงสคริปต์ชุดและสคริปต์ cmd ในนั้นสคริปต์ cmd มีหน้าที่รับผิดชอบในการรันเครื่องมือขโมยข้อมูล Snake จากที่เก็บ GitLab ที่ผู้โจมตีควบคุม

Người dùng Facebook Việt Nam đang là mục tiêu của chiến dịch độc hại 'Snake'- Ảnh 1. — ข้อความที่มีลิงก์อันตรายถูกแพร่กระจายผ่านข้อความของ Facebook

Cybereason ได้ระบุเวอร์ชันของ Snake จำนวน 3 แบบ โดยเวอร์ชันที่ 3 เป็นไฟล์ปฏิบัติการที่สร้างขึ้นโดย PyInstaller และมุ่งเป้าไปที่ผู้ใช้เบราว์เซอร์ Cốc Cốc ซึ่งเป็นที่นิยมในเวียดนาม

เมื่อรวบรวมข้อมูลแล้ว ข้อมูลการเข้าสู่ระบบและคุกกี้จะถูกแชร์บนหลายแพลตฟอร์ม รวมถึง Discord, GitHub และ Telegram นอกจากนี้มัลแวร์ยังกำหนดเป้าหมายบัญชี Facebook ด้วยการดึงข้อมูลคุกกี้ ซึ่งอาจบ่งบอกว่าการเข้ายึดบัญชีจะถูกใช้เพื่อจุดประสงค์ในการแพร่กระจายมัลแวร์

แคมเปญดังกล่าวแสดงให้เห็นถึงการเชื่อมต่อกับแฮกเกอร์จากเวียดนาม เนื่องมาจากรูปแบบการตั้งชื่อของที่เก็บข้อมูลซึ่งควบคุมโดยผู้โจมตี ซึ่งเชื่อกันว่ามีการอ้างอิงภาษาเวียดนามในโค้ดต้นฉบับ ตัวอย่างเช่น 'hoang.exe' หรือ 'hoangtuan.exe' หรือเส้นทาง GitLab ที่แสดงการเชื่อมต่อกับชื่อ 'Khoi Nguyen'

นอกจากนี้ Cybereason ยังสังเกตอีกว่ามัลแวร์ยังกำหนดเป้าหมายไปที่เบราว์เซอร์อื่นๆ เช่น Brave, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox และ Opera อีกด้วย

การค้นพบนี้เกิดขึ้นท่ามกลางการตรวจสอบที่เพิ่มมากขึ้นของ Facebook เนื่องจากมองว่าบริษัทไม่ช่วยเหลือเหยื่อของการแฮ็กบัญชี เพื่อปกป้องตนเอง ผู้ใช้ควรใช้มาตรการรักษาความปลอดภัย โดยเฉพาะการใช้รหัสผ่านที่ซับซ้อนและการตรวจสอบสิทธิ์แบบสองปัจจัย (2FA)

ลิงค์ที่มา