พบแฮกเกอร์อ้างแจกแอปดู OnlyFans ฟรี ติดตั้งแล้วติดมัลแวร์ CRPx0

จากรายงานโดยเว็บไซต์ Security Week ได้กล่าวถึงการตรวจพบแคมเปญแพร่กระจายมัลแวร์ประเภทขโมยเหรียญคริปโตเคอร์เรนซี (Cryptocurrency Theft) ชื่อว่า CRPx0 ที่นอกจากการขโมยเหรียญคริปโตแล้ว ยังมีความสามารถในการลักลอบขโมยข้อมูล (Data Exfiltration) และใช้เป็นฐานในการปล่อยมัลแวร์ประเภทเรียกค่าไถ่ หรือ Ransomware โดยมัลแวร์ตัวนี้สามารถทำงานได้ทั้งบนระบบปฏิบัติการ Windows และ macOS นอกจากนั้นทางทีมวิจัยจาก Aryaka Threat Research Labs บริษัทผู้เชี่ยวชาญด้านการตรวจสอบภัยไซเบอร์ ยังพบอีกว่าเวอร์ชัน Linux กำลังอยู่ระหว่างการพัฒนาอีกด้วยจากการที่มัลแวร์ตัวนี้มีเว็บไซต์ของตนเองที่มีการนำเสนอราคาการจัดจำหน่ายมัลแวร์ในราคา 500 ดอลลาร์สหรัฐ (16,227.25 บาท) แบบตลอดชีพ (Lifetime) ไม่เพียงเท่านั้น บนเว็บไซต์ยังได้มีการโอ้อวดว่า ปัจจุบันมีผู้ตกเป็นเหยื่อแล้วกว่า 38 ราย โดยข้อมูลที่ขโมยได้ของเหยื่อ 23 รายนั้นมีวางจำหน่าย ขณะอีกที่ 15 รายรอดพ้นเนื่องจากได้ทำการจ่ายค่าไถ่ข้อมูลเป็นที่เรียบร้อยแล้ว ซึ่งปริมาณข้อมูลที่ขโมยมาได้และอยู่ระหว่างการวางจำหน่ายนั้นมีปริมาณมากถึง 10,839 TB เลยทีเดียว

ทางทีมวิจัยได้เปิดเผยแคมเปญการแพร่กระจายของมัลแวร์ตัวนี้ว่า แฮกเกอร์ที่อยู่เบื้องหลังนั้นใช้การหลอกลวงเหยื่อด้วยวิธีการทำวิศวกรรมทางสังคม (Social Engineering) ด้วยการลวงเหยื่อว่า มีบัญชี (Account) สำหรับการเข้าใช้งานแพลตฟอร์มคอนเทนต์สำหรับผู้ใหญ่ยอดนิยม OnlyFans ฟรี ซึ่งจะมุ่งเน้นไปยังผู้ที่พยายามหาทางเข้าใช้งานแพลตฟอร์มนี้โดยไม่เสียเงิน (แหล่งข่าวไม่ได้ระบุว่าแฮกเกอร์หลอกเหยื่อผ่านทางอีเมล หรือทางเว็บไซต์ปลอม แต่คาดการณ์ว่าเป็นอย่างหลัง) จนมาพบไฟล์ OnlyfansAccounts.zip ที่อ้างว่าสำหรับเข้าใช้งานบัญชี OnlyFan ที่อนุญาตให้ผู้ใช้งานรับชมคอนเทนต์ที่ต้องจ่ายเงินได้

โดยภายในไฟล์ดังกล่าวนั้น เมื่อคลายออกมาจะมีไฟล์ Internet Shortcut นามสกุล .lnk ชื่อ Onlyfans Accounts.lnk ซึ่งถ้าเหยื่อเปิดขึ้นมา ภายในนั้นเหยื่อจะเห็นข้อมูลที่อ้างว่าเป็นรหัสผ่านใช้งานบัญชี OnlyFan ที่ถูกแฮกมา (Compromised Account) ให้ดาวน์โหลดภายใต้ชื่อไฟล์ว่า Accounts.txt ซึ่งภายในนั้นจะมีหัวข้อ ’50 working Onlyfans account’ และข้อมูลที่อ้างว่าเป็นรหัสผ่านเหล่านั้นให้เหยื่อตายใจ แต่ในฉากหลังนั้นกลับเป็นการดาวน์โหลดและติดตั้งมัลแวร์ ซึ่งหลังจากที่ติดตั้งมัลแวร์เป็นที่เรียบร้อยแล้ว ตัวมัลแวร์ก็จะทำการติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) โดยในขณะเดียวกันนั้นเอง ตัวมัลแวร์ก็จะทำการเก็บข้อมูลสภาพแวดล้อมของระบบ (System Environment), สร้างความคงทนบนระบบ (Persistence) นอกจากนี้ตัวมัลแวร์ยังสามารถตรวจสอบเวอร์ชันใหม่ ๆ เพื่อทำการอัปเดตตัวเองอย่างอัตโนมัติได้ด้วย

สำหรับการทำงานของมัลแวร์นั้นจะเป็นออกเป็น 3 ส่วน คือ

การขโมยเหรียญคริปโตเคอร์เรนซี (Cryptocurrency Theft) จะทำการด้วยการสับเปลี่ยนที่อยู่ของกระเป๋าเงิน (Wallet Address) บน Clipboard ให้เป็นของแฮกเกอร์เพื่อให้เหยื่อโอนเงินผิด

การขโมยข้อมูล (Data Exfiltration) ทางเซิร์ฟเวอร์ C2 จะทำการกำหนดไฟล์ประเภทที่จะขโมย โดยจะครอบคลุมถึงไฟล์เอกสาร, ไฟล์สื่อ (Media), ไฟล์โค้ดพัฒนาซอฟต์แวร์, ไฟล์ที่เกี่ยวข้องกับงานออกแบบและงานวิศวกรรม แล้วลักลอบส่งออกจากเครื่องไปยังเซิร์ฟเวอร์ C2

การปล่อยมัลแวร์เรียกค่าไถ่ (Ransomware) หลังจากข้อมูลถูกขโมยเสร็จเรียบร้อยในขั้นตอนที่ผ่านมา มัลแวร์ก็จะส่งคำสั่งเข้ารหัส (Encryption) เพื่อทำการดาวน์โหลดไฟล์แรนซัมแวร์ (Payload) ชื่อว่า crypter.py ลงมาจากเซิร์ฟเวอร์ C2 แล้วทำการติดตั้งลงบนเครื่อง หลังจากนั้นตัวแรนซัมแวร์ที่ติดตั้งเสร็จ ก็จะสร้างกุญแจเฉพาะ (Unique Key) ด้วยกลไก Fernet สำหรับการเข้ารหัสแบบ AES หลังจากนั้นจึงทำการเข้ารหัสไฟล์ที่กำหนดให้เป็นไฟล์สกุล ‘.crpx0’ โดยยกเว้นโฟลเดอร์ที่เกี่ยวกับระบบเพื่อให้มั่นใจว่าระบบหลัก ๆ จะยังคงทำงานได้อยู่ แล้วจึงปล่อยจดหมายเรียกค่าไถ่ (Ransom Note) แบบ 3 ภาษา (อังกฤษ, รัสเซีย, จีน) ไว้บนเครื่อง ซึ่งบนจดหมายนั้นจะกำกับให้เหยื่อทำการติดต่อกับแฮกเกอร์เพื่อชำระค่าไถ่ผ่านทางอีเมล, qTox, และ Telegram