|
เมื่อวันที่ 10 พฤษภาคม 2559 ไทยเซิร์ตได้รับแจ้งว่ามีการแพร่กระจายมัลแวร์ผ่าน Facebook โดยลักษณะคือผู้ใช้จะได้รับแจ้งเตือนว่าถูกพาดพิงโดยบุคคลที่สาม ดังแสดงในรูปที่ 1
รูปที่ 1 ตัวอย่างการแจ้งเตือนที่พบ
หากผู้ใช้คลิกเข้าไปดูข้อความแจ้งเตือนดังกล่าว จะถูกนำพาไปยังเว็บไซต์อื่นทันทีโดยไม่มีการแจ้งเตือน
เว็บไซต์ปลายทางที่ถูกนำพาไป ปรากฏข้อความว่าเป็นส่วนขยายของเบราว์เซอร์ สำหรับใช้เปลี่ยนสีของเว็บไซต์ Facebook และให้ดาวน์โหลดไฟล์ Instalador_Cores.scr มาติดตั้ง ดังรูปที่ 2
รูปที่ 2 หน้าเว็บไซต์ปลายทางมีให้ดาวน์โหลดไฟล์ Instalador_Cores.scr
ไฟล์ .scr ที่ดาวน์โหลดมา เป็นตัวติดตั้งส่วนขยาย (Extension) ของ Google Chrome ส่วนขยายนี้ทำหน้าที่สองอย่าง เบื้องหน้าเป็นโปรแกรมที่ใช้เปลี่ยนสีของเว็บไซต์ Facebook แต่เบื้องหลังแอบสวมรอยนำบัญชี Facebook ของผู้ใช้ไปโพสต์คอมเมนต์ในเว็บไซต์เพื่อแท็กชื่อเพื่อนคนอื่นหลอกให้ดาวน์โหลดมัลแวร์ต่อ
พฤติกรรมการทำงานของมัลแวร์
รายละเอียดของไฟล์มัลแวร์ที่พบ
ชื่อไฟล์: Instalador_Cores.scr
ขนาด: 3,482,624 bytes
MD5: add95d1e66128ab488dadda469b7b377
SHA-256: 52eb68b2cef481d8c0a3a6ab5a85c5be9dcf2c70a81d0b7dfe0991a83bf6755b
พฤติกรรมการทำงาน
เมื่อดับเบิ้ลคลิกไฟล์ Instalador_Cores.scr พบหน้าจอให้ติดตั้งโปรแกรมดังรูปที่ 3
รูปที่ 3 หน้าจอให้ติดตั้งโปรแกรม
เมื่อกดปุ่ม “Instalar” โปรแกรมจะติดตั้งส่วนขยาย (Extension) ของเบราว์เซอร์ Google Chrome โดยจะสร้างไฟล์ไว้ที่ไดเรกทอรี C:\User\[ชื่อผู้ใช้]\AppData\Local\Google\Update จากนั้นจะสร้าง Shortcut สำหรับเรียกใช้งาน Google Chrome ไว้ที่ Desktop โดยตัว Shortcut ดังกล่าวจะเป็นการเปิดใช้งาน Google Chrome โดยโหลดส่วนเสริมที่ถูกติดตั้งใหม่ขึ้นมาทำงานด้วย
หากเปิดใช้งาน Google Chrome จาก Shortcut ที่ถูกสร้างขึ้นใหม่ และเข้าเว็บไซต์ Facebook จะพบว่าสีของเว็บไซต์ Facebook ได้ถูกเปลี่ยนเป็นสีเขียว และพบว่ามีการติดตั้งส่วนขยายที่สามารถใช้เปลี่ยนสีของเว็บไซต์ Facebook ได้ ดังรูปที่ 4
รูปที่ 4 ตัวอย่างส่วนขยายของ Google Chrome ที่สามารถเปลี่ยนสีเว็บไซต์ Facebook ได้
อย่างไรก็ตาม ส่วนขยายนี้มีการทำงานเบื้องหลังคือจะตรวจสอบว่ามีบัญชีผู้ใช้ Facebook ล็อกอินอยู่ในเบราว์เซอร์หรือไม่ หากพบว่ามีอยู่ จะใช้บัญชีนั้นสวมรอยโพสต์คอมเมนต์ในเว็บไซต์ pinandwin8.co.nz
ตัวอย่างลักษณะการทำงานที่ส่วนขยายสวมรอยบัญชีผู้ใช้ Facebook จากในเบราว์เซอร์ไปโพสต์คอมเมนต์โดยไม่ได้รับอนุญาต เป็นดังรูปที่ 5
รูปที่ 5 ตัวอย่างลักษณะการทำงานที่สวมรอยบัญชี Facebook โพสต์คอมเมนต์โดยไม่ได้รับอนุญาต
จากกรณีนี้ ไทยเซิร์ตพบว่าผู้สร้างมัลแวร์นำระบบแจ้งเตือนคอมเมนต์ของ Facebook มาใช้เป็นหนึ่งในวิธีการแพร่กระจาย เนื่องจาก Facebook อนุญาตให้ผู้พัฒนาเว็บไซต์สามารถติดตั้งปลั๊กอิน Facebook Comments [1] เพื่อให้ผู้เยี่ยมชมเว็บไซต์สามารถแสดงความคิดเห็นในหน้าเว็บไซต์ได้โดยใช้ล็อกอินของ Facebook ซึ่งในช่องคอมเมนต์ผู้ใช้สามารถพาดพิงถึงเพื่อนที่อยู่ในรายชื่อผู้ติดต่อได้ ดังรูปที่ 6 ซึ่งเมื่อผู้ที่ถูกพาดพิงได้รับแจ้งเตือนและกดอ่าน ก็จะถูกนำมาที่เว็บไซต์ที่มีคอมเมนต์ดังกล่าวอยู่
รูปที่ 6 การพาดพิงถึงเพื่อนในช่อง Facebook Comments
ช่องทาง Facebook Comments สามารถใช้ในการหลอกให้ผู้ใช้เข้าไปยังเว็บไซต์อันตรายได้ เช่น เว็บไซต์ที่หลอกให้ดาวน์โหลดมัลแวร์ หรือหน้าเว็บไซต์ปลอมที่หลอกขโมยรหัสผ่าน (Phishing) เป็นต้น
ข้อแนะนำในการป้องกันและแก้ไข
การแก้ไขหากตกเป็นเหยื่อ
สำหรับผู้ใช้ที่ตกเป็นเหยื่อและเผลอติดตั้งมัลแวร์จากไฟล์ Instalador_Cores.scr สามารถแก้ไขได้ดังนี้
1. ไปที่ไดเรกทอรี C:\User\[ชื่อผู้ใช้]\AppData\Local\Google\Update แล้วลบไฟล์ที่มัลแวร์สร้าง ดังนี้
- /background.html
- /css/spectrum.css
- /css/style.css
- /img/icon.png
- /img/icon128.png
- /img/icon19.png
- /img/icon38.png
- /img/icon48.png
- /js/background.js
- /js/contentScript.js
- /js/lib/jquery-1.8.2.min.js
- /js/lib/spectrum.js
- /js/popup.js
- /manifest.json
- /popup.html
2. ลบไอคอน Google Chrome ที่ถูกสร้างขึ้นใหม่ออกจาก Desktop
การป้องกันการโจมตีลักษณะนี้ในอนาคต
- ผู้ใช้ Facebook ควรอ่านข้อความแจ้งเตือนที่ปรากฏบนหน้าจอ โดยเฉพาะเมื่อ Facebook แจ้งว่าการคลิกลิงก์จะเป็นการเปลี่ยนเส้นทางไปยังเว็บไซต์อื่น
- หากคลิกลิงก์จาก Facebook แล้วพบหน้าจอขอให้ใส่รหัสผ่าน ไม่ควรใส่ข้อมูลเพราะอาจเป็นหน้าเว็บไซต์หลอกลวง (Phishing)
- หากคลิกลิงก์จาก Facebook แล้วพบหน้าจอขอให้ดาวน์โหลดโปรแกรม ควรพิจารณาก่อนดาวน์โหลดโปรแกรมนั้นเพราะอาจเป็นอันตรายได้
- ผู้ดูแลระบบอาจพิจารณาบล็อคเว็บไซต์ pinandwin8.co.nz เนื่องจากเป็นเว็บไซต์ที่เผยแพร่มัลแวร์
อ้างอิง
- https://developers.facebook.com/docs/plugins/comments/
|
หน้าแรก
