แฮกเกอร์ใช้ Google Ads ควบแชร์แชตจาก Claude.ai ในการทำโฆษณาปลอมปล่อยมัลแวร์

ตรวจพบแฮกเกอร์ใช้ Google Ads ควบแชร์แชตจาก Claude.ai ในการทำโฆษณาปลอมปล่อยมัลแวร์

จากรายงานโดยเว็บไซต์ Bleeping Computer ได้กล่าวถึงการตรวจพบแคมเปญ Malvertising แคมเปญใหม่ที่ใช้ระบบโฆษณา Google Ads ร่วมกับระบบแชร์แชท (Chat Sharing) ของเครื่องมือปัญญาประดิษฐ์ หรือ AI (Artificial Intelligence) อย่าง Claude.ai มาใช้งานเพื่อแพร่กระจายมัลแวร์ไปยังกลุ่มผู้ที่ใช้งานระบบปฏิบัติการ macOS ที่มีการค้นหาว่า "Claude mac download" ซึ่งด้วยการใช้งาน Chat Sharing ของตัว Claude นั้นจะทำให้เหยื่อมองเห็น URL บนโฆษณาเป็น claude.ai จนหลงติดกับ เข้าไปดาวน์โหลดแอปพลิเคชันแฝงมัลแวร์ลงมาบนเครื่องในท้ายที่สุด

โดยในการนี้ นักวิจัยจาก Trendyol Group บริษัทด้านอีคอมเมิร์ซ (eCommerce) จากประเทศตุรกี กล่าวว่า ตัวแคมเปญนั้นหลังจากที่เหยื่อกดลิงก์เข้าไป จะพบกับแชทของ Claude ที่ทำเสมือนกับคำแนะนำวิธีติดตั้ง โดยตัวคำแนะนำนั้นจะขอให้เหยื่อทำการเปิดแอป Terminal ขึ้นมาเพื่อรันคำสั่ง (Command) โดยอ้างว่าเป็นการติดตั้งแอปพลิเคชัน Claude แต่แท้จริงนั้นเป็นการติดตั้งมัลแวร์ลงสู่เครื่อง ซึ่งนอกจากแคมเปญที่ทางนักวิจัยรายนี้พบแล้ว ทางแหล่งข่าว (Bleeping Computer) ก็ได้พบอีกแคมเปญหนึ่งที่มีลักษณะแตกต่างกันเล็กน้อยในช่วงของการดาวน์โหลดไฟล์มัลแวร์ (Payload) ลงมาบนเครื่อง กล่าวคือ

แคมเปญที่ทางนักวิจัยพบนั้น จะดาวน์โหลดไฟล์ Payload มาจาก hxxp://customroofingcontractors[.]com/curl/b42a0ed9d1ecb72e42d6034502c304845d98805481d99cea4e259359f9ab206e

ขณะที่แคมเปญที่ทางแหล่งข่าวพบนั้น จะดาวน์โหลดมาจาก hxxps://bernasibutuwqu2[.]com/debug/loader.sh?build=a39427f9d5bfda11277f1a58c89b7c2d

ซึ่งแคมเปญหลังนั้นชัดเจนว่าเป็นไฟล์สคริปท์ PowerShell ที่ถูกบีบอัดด้วย Gunzip ที่มีชื่อว่า 'loader.sh' โดยสคริปท์ตัวนี้จะทำการรันบนหน่วยความจำโดยตรง (In-Memory Execution) ทำให้เหลือร่องรอยให้ตรวจจับบนระบบน้อยมาก นอกจากนั้นเมื่อเจาะลึกเข้าไปแล้วพบว่า ตัวเซิร์ฟเวอร์นั้นเมื่อได้รับคำขอ (Request) ในการดาวน์โหลดตัว Payload ลงมาบนเครื่องนั้น ทุกครั้งเซิร์ฟเวอร์จะส่งเวอร์ชันที่มีการแทรกโค้ดเพื่อสร้างความสับสนให้กับระบบตรวจจับ (Obfuscation) ลงมา ทำให้เครื่องมือตรวจจับประเภทตรวจจับเอกลักษณ์ของมัลแวร์ (Signature Analysis) ตรวจจับได้ยากอีกด้วย

ในด้านการทำงานของมัลแวร์นั้น จะเริ่มจากการตรวจสอบว่าเครื่องของเหยื่อนั้นได้มีการใช้งานภาษารัสเซีย หรือภาษาในกลุ่มเครือรัฐอิสระ (CIS หรือ Commonwealth of Independent States) หรือไม่ โดยถ้าตรวจพบก็จะหยุดทำงานทันทีด้วยการส่ง Ping ว่า cis_blocked กลับไปยังเซิร์ฟเวอร์ แต่ถ้าไม่ ตัวสคริปท์มัลแวร์ก็จะทำงานในขั้นตอนต่อไป ด้วยการเก็บข้อมูลต่าง ๆ ของเหยื่อ เช่น หมายเลขไอพีภายนอก (External IP), ชื่อโฮสต์ (Hostname), เวอร์ชันของระบบปฏิบัติการที่ใช้งานอยู่, และรายละเอียดภาษาบนคีย์บอร์ด ส่งกลับไปยังเซิร์ฟเวอร์

จากนั้นสคริปท์ก็จะทำการดาวน์โหลด Payload ตัวที่ 2 ลงมาติดตั้งโดยการใช้เครื่องมือสำหรับรันสคริปท์บน macOS อย่าง osascript มาใช้งานรัน Payload ดังกล่าว ซึ่งนับเป็นวิธีการรันโค้ดจากระยะไกล (RCE หรือ Remote Code Execution) ในรูปแบบหนึ่งโดยที่ไม่ต้องปล่อยไฟล์สำหรับการรันบนเครื่อง (Binary) ลงมาเลย โดยมัลแวร์ดังกล่าวนั้นพบว่าเป็นมัลแวร์สายพันธุ์ย่อยของ MacSync ซึ่งเป็นมัลแวร์ประเภทขโมยข้อมูลจากระบบ หรือ Infostealer ซึ่งมัลแวร์นี้มีความสามารถในการขโมยรหัสผ่าน, ไฟล์ Cookies, และข้อมูลรหัสผ่านที่บันทึกไว้บน macOS Keychain โดยข้อมูลเหล่านี้จะถูกแพ็ครวมเป็นแพ็คเกจเดียวกัน แล้วแอบส่ง (Exfiltration) กลับไปยังเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ซึ่งคาดว่าจะตั้งอยู่บนโดเมน briskinternet[.]com โดยคาดการณ์จากตัวสคริปท์ของมัลแวร์ที่ตรวจพบ