พบมัลแวร์ใหม่ หลอกให้ติดตั้งผ่านทางกล่องข้อความส่วนตัวบน Linkedin

Linkedin นั้นอาจเป็นโซเชียลมีเดียสำหรับคนทำงานในระดับมืออาชีพยอดนิยม ที่เหล่าคนทำงานตั้งแต่ระดับล่างจนถึงระดับสูงจะใช้งานทั้งการหางาน แสวงหาเครือข่าย หรือกระทั่งหาหุ้นส่วนทางธุรกิจ นั่นทำให้การติดต่อซึ่งกันและกันผ่านทางกล่องข้อความส่วนบุคคล (DM หรือ Direct Message) ได้รับความนิยมเป็นอย่างยิ่ง และนี่ก็ได้กลายเป็นช่องทางหนึ่งที่แฮกเกอร์ใช้ในการเข้าถึงเหยื่อ

จากรายงานโดยเว็บไซต์ Security Brief ได้กล่าวถึงการที่ทีมวิจัยจาก ReliaQuest บริษัทผู้เชี่ยวชาญในด้านการรับมือการโจมตีทางไซเบอร์ ออกมาเปิดเผยถึงแคมเปญหลอกลวงเหยื่อผ่านทางช่องข้อความส่วนตัวบน Linkedin ด้วยวิธีการแบบ Phishing เพื่อปล่อยมัลแวร์ที่ถูกสร้างขึ้นบนพื้นฐานของภาษา Python (ไม่มีการระบุชื่อมัลแวร์แต่อย่างใด) ใส่เหยื่อ ซึ่งทางทีมวิจัยระบุว่า เนื่องจากแพลตฟอร์มนี้มีการสร้างบรรยากาศการใช้งานที่มีความน่าเชื่อถือ ทำให้สามารถสร้างความไว้วางใจต่อเหยื่อที่ทำงานภายในบริษัทต่าง ๆ ได้ง่าย จนเปิดช่องสู่การหลอกลวงเพื่อปูทางให้มัลแวร์เข้าถึงระบบของบริษัท องค์กร และธุรกิจต่าง ๆ ได้

ซึ่งในด้านการหลอกปล่อยมัลแวร์นั้นจะเริ่มต้นจากการที่แฮกเกอร์ส่งข้อความส่วนตัวให้กับเหยื่อผ่านทางกล่องข้อความส่วนตัวบน Linkedin โดยข้อความที่ส่งนั้นจะเป็นการล่อลวงให้เหยื่อทำการดาวน์โหลดไฟล์แบบบีบอัด ซึ่งเมื่อคลายไฟล์ออกมาจะมีไฟล์อยู่ 4 ไฟล์ นั่นคือ

ไฟล์แอปพลิเคชันสำหรับอ่านไฟล์สกุล PDF ตัวจริง (PDF Reader)

ไฟล์ DLL (Dynamic Link Library) ของตัวมัลแวร์

ไฟล์เครื่องมือสำหรับการรัน Python

และ ไฟล์ RAR อีกตัวที่ทำหน้าที่หันเหความสนใจของเหยื่อ (Decoy)

โดยทางทีมวิจัยได้ระบุว่า แฮกเกอร์มักจะทำการตั้งชื่อไฟล์ให้ดูมีความจริงจัง แบบไฟล์สำหรับการส่งให้กับบริษัทเพื่อติดต่อในเชิงธุรกิจ เช่น "Upcoming_Products.pdf" และ "Project_Execution_Plan.exe" เพื่อหลอกล่อให้เหยื่อหลงเชื่อและทำการเปิดไฟล์ขึ้นมา

การฝังตัวของมัลแวร์จะเริ่มขึ้น หลังจากที่ตัวเหยื่อทำการรันไฟล์แอปพลิเคชัน PDF Reader ซึ่งเป็นไฟล์สกุล .Exe สำหรับใช้ในการรัน ถึงแม้ตัวไฟล์จะเป็นแอปพลิเคชันของแท้ แต่การรันขึ้นมาก็จะนำไปสู่การใช้งานไฟล์ DLL มัลแวร์ที่แฮกเกอร์ดัดแปลงมาให้ทำงานร่วมกันกับแอปพลิเคชันดังกล่าว ซึ่งเป็นเทคนิคที่เรียกว่า DLL Sideloading โดยหลังจากที่ไฟล์ DLL ถูกเรียกใช้งาน ก็จะนำไปสู่การวางตัวประมวลภาษา Python (Python Interpreter) ที่ถูกแนบมาบนโฟลเดอร์เดียวกันลงไปบนระบบ (System) ของเหยื่อ ซึ่งในขั้นตอนนี้จะมีการสร้างความคงทนบนระบบของเหยื่อ (Persistent) ด้วยการฝังโค้ดมัลแวร์ในภาษา Python ลงไปใน Registry กุญแจ (Key) Run

หลังจากที่ตัว Interpreter ถูกเรียกใช้ ก็จะนำไปสู่การถอดรหัส (Decoding) สคริปท์ Shellcode ที่ถูกเข้ารหัส (Encoding) ในแบบ Base64 ลงไปบนหน่วยความจำ (Memory) โดยตรงผ่านการใช้งานฟังก์ชัน Python's exec() แล้วตัวมัลแวร์ก็จะทำการติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) เพื่อรอรับคำสั่งในการโจมตีต่อไป

ทั้งนี้ทาง ReliaQuest ไม่ได้มีการระบุว่ามัลแวร์ดังกล่าวนั้นเป็นมัลแวร์ประเภทใด มีการทำงานอย่างไร หรือกระทั่งแฮกเกอร์มีจุดประสงค์หลักอะไรจากการใช้มัลแวร์ที่กล่าวถึง เพียงกล่าวว่าทางทีมวิจัยได้จัดให้มัลแวร์ดังกล่าวอยู่ในหมวดเดียวกับแคมเปญการโจมตีผ่านโซเชียลมีเดียตัวอื่น ๆ ที่มีจุดประสงค์ในการขโมยข้อมูลทางการเงิน หรือ ประสงค์ในการขโมยเงินของเหยื่อเท่านั้น ทำให้คาดว่ามัลแวร์ตัวนี้จะมีการทำงานในรูปแบบคล้ายคลึงกับมัลแวร์ที่สร้างขึ้นมาเพื่อขโมยข้อมูลทางการเงินตัวอื่น ๆ เช่น "More_eggs" ที่มีการแพร่กระจายผ่านช่องทางโซเชียลด้วยฝีมือของกลุ่มแฮกเกอร์ชื่อดังอย่าง FIN6 และ Cobalt Group