มัลแวร์ใหม่ Socelars มุ่งโจมตีระบบ Windows เพื่อขโมยบัญชีโฆษณา Facebook

มัลแวร์ใหม่ Socelars มุ่งโจมตีระบบ Windows เพื่อขโมยบัญชีโฆษณา Facebook

มัลแวร์ประเภทขโมยข้อมูลจากเครื่องของเหยื่อ หรือ Infostealer นั้นเรียกได้ว่าเป็นมัลแวร์ตัวหนึ่งที่กำลังเป็นที่นิยมในกลุ่มแฮกเกอร์ในยุคปัจจุบันที่มีการพัฒนาออกมามากมายหลายตัว และก่อความเสียหายในรูปแบบของข้อมูลรั่วไหลได้อย่างร้ายแรงมากจนมีชุดรหัสผ่านถูกขโมยด้วยมัลแวร์ประเภทนี้นับพันล้านชุด และนี่ก็เป็นอีกหนึ่งมัลแวร์ตัวใหม่ที่ผู้ใช้งานระบบปฏิบัติการ Windows ต้องระวัง

จากรายงานโดยเว็บไซต์ Cyberpress ได้กล่าวถึงการตรวจพบมัลแวร์ประเภท Infostealer ตัวใหม่ที่มีชื่อว่า Socelars โดยมัลแวร์ดังกล่าวนี้จะมุ่งเน้นการโจมตีไปยังกลุ่มผู้ใช้งาน Windows เป็นหลัก ด้วยจุดประสงค์ในการขโมยข้อมูล Session การเข้าใช้งาน บนเว็บเบราว์เซอร์เพื่อที่จะได้เข้าใช้งานบัญชีออนไลน์ (Online Account) โดยที่ไม่มีความจำเป็นต้องใช้รหัสผ่านเพื่อล็อกอิน ซึ่งเป้าหมายหลัก ๆ ที่ตัวมัลแวร์ต้องการขโมยนั้นจะเป็นข้อมูลการเข้าใช้งานบัญชีโฆษณาบน Facebook (Facebook Ads Manager) เพื่อที่จะนำเอาบัญชีของเหยื่อไปใช้ในการยิงโฆษณาหลอกลวง, ลักลอบขโมยเงินที่เติมไว้บนบัญชี หรืออาจจะนำเอาการเข้าใช้งาน (Access) ไปขายต่อให้กับแฮกเกอร์กลุ่มอื่นเพื่อทำกำไร

ในด้านการทำงานของมัลแวร์นั้น ทางทีมวิจัยจาก AnyRun บริษัทผู้พัฒนาเครื่องมือต่อต้านมัลแวร์ ได้เปิดเผยว่า ตัวมัลแวร์นั้นจะสมอ้างตัวเองเป็นซอฟต์แวร์สำหรับการอ่านไฟล์เอกสารสกุล PDF เช่น “PDFreader” โดยถ้าเหยื่อได้เผลอติดตั้งซอฟต์แวร์ปลอมดังกล่าว แทนที่จะเป็นการติดตั้งซอฟต์แวร์ที่ใช้ได้ตามปกติ ตัวซอฟต์แวร์ปลอมกลับทำการสร้างโฟลเดอร์ชื่อว่า “pdfreader2019” แล้วเริ่มทำการขโมยข้อมูลบนเครื่องในทันที ด้วยการเริ่มโจมตีเว็บเบราว์เซอร์บนเครื่อง เช่น Chrome และ Firefox เพื่ออ่านไฟล์ต่าง ๆ ที่เกี่ยวข้องกับ Cookies อาทิ เช่น ฐานข้อมูล (Database) Cookies SQLite เพื่อดึงข้อมูล Session Cookies, Access Token, และ ข้อมูลระบุตัวผู้ใช้งาน (Identifier) เพื่อที่จะเข้าใช้งานบัญชีออนไลน์โดยไม่ต้องล็อกอิน หลังจากนั้นตัวมัลแวร์ก็จะทำการใช้ข้อมูลที่ขโมยมาได้ เข้าขโมยข้อมูลต่าง ๆ ที่อยู่บนบัญชีโฆษณา Facebook อีกที โดยครอบคลุมตั้งแต่ หมายเลขผู้ใช้บริการ (Account ID), การจำกัดการใช้จ่ายงบ (Spending Limits), อีเมล, ข้อมูลเพจ และวิธีการจ่ายเงิน (Payment Methods) ที่เหยื่อใช้งานอยู่ เช่น Paypal และ บัตรเครดิต เป็นต้น

สำหรับในส่วนการทำงานเชิงเทคนิคของมัลแวร์นั้น ทางทีมวิจัยเผยว่า ตัวมัลแวร์จะเริ่มต้นด้วยการสำรวจลาดเลาของระบบ (System Reconnaissance) และ ตรวจสอบสภาพแวดล้อม (Environment) ของตัวระบบ ตามมาด้วยการเพิ่มสิทธิ์ในการเข้าใช้งานระบบ (System Privilege) แบบเล็ดลอดการถูกตรวจสอบโดยระบบป้องกัน User Account Control (UAC) ด้วยการใช้งานเทคนิค COM Auto-Elevation ซึ่งจะช่วยให้ตัวมัลแวร์สามารถอัปเกรดสิทธิ์โดยอัตโนมัติได้ผ่านทาง cmlua.dll และ ICMLuaUtil หลังจากนั้นตัวมัลแวร์ก็จะทำการสร้าง Mutex ชื่อ “patatoes” เพื่อป้องกันการรันตัวเองซ้ำซ้อน 2 รอบขึ้นมา แล้วจึงทำการติดต่อกับ URL ชื่อว่า iplogger[.]org เพื่อใช้ในการตรวจสอบ (Tracking) หมายเลข IP แล้วจึงทำให้ตัวเองค้าง (Crash) ให้คล้ายคลึงกับตัวแอปพลิเคชันทำงานล้มเหลว เพื่อหลอกลวงระบบตรวจสอบของเหยื่อ และทำงานตามขั้นตอนที่กล่าวมาข้างต้น

ทางทีมวิจัยยังได้แนะนำวิธีการตรวจสอบและป้องกันมัลแวร์ดังกล่าวมาด้วยดังนี้

หลีกเลี่ยงการใช้งานแอปพลิเคชันแปลก ๆ เช่น “PDFreader” โดยให้ใช้งานเครื่องมือจากนักพัฒนาที่มีชื่อเสียงอย่าง Adobe หรือ Foxit แทน

ใช้นโยบาย (Policy) ในการเข้าถึงไฟล์ที่เกี่ยวข้องกับ Cookies อย่างเข้มงวดที่สุด รวมทั้งใช้เครื่องมือจัดการอุปกรณ์ปลายทาง (Endpoints) เพื่อจับตาการ

ปิดระบบอัปเกรดสิทธิ์อัตโนมัติของ UAC และสแกนหา Mutex ชื่อว่า “patatoes” 

ใช้งานระบบสภาพแวดล้อมจำลอง หรือ Sandbox เพื่อตรวจสอบไฟล์ต้องสงสัยก่อนเปิดใช้งานทุกครั้ง

อัปเดตแพทช์บน Windows และ เว็บเบราว์เซอร์อย่างสม่ำเสมอเพื่ออุดรอยรั่ว เพิ่มความปลอดภัยให้กับระบบ