ผู้ใช้ Facebook ชาวเวียดนามตกเป็นเป้าหมายของแคมเปญ 'งู' ที่เป็นอันตราย

ตามรายงานของ TechRadar การศึกษาวิจัยใหม่ได้เตือนว่าผู้ไม่ประสงค์ดีกำลังใช้ประโยชน์จากข้อความของ Facebook เพื่อใช้เครื่องมือขโมยข้อมูลที่ซับซ้อนโดยใช้ Python ที่ชื่อว่า Snake

นักวิจัยจากบริษัทโซลูชันด้านความปลอดภัย Cybereason ได้เปิดเผยรายละเอียดของการโจมตีที่เป็นอันตรายนี้ โดยระบุว่าเป้าหมายหลักของ Snake คือการขโมยข้อมูลที่ละเอียดอ่อนและข้อมูลรับรองการเข้าสู่ระบบจากผู้ใช้ที่ไม่รู้เรื่องรู้ราว การโจมตีครั้งนี้ดูเหมือนจะเป็นการโจมตีที่ค่อนข้างใหม่ โดยตรวจพบครั้งแรกในเดือนสิงหาคม 2023 และมีสัญญาณบ่งชี้ว่ากำลังกำหนดเป้าหมายไปที่ผู้ใช้ชาวเวียดนาม

ในแง่ของวิธีการโจมตี ผู้โจมตีจะส่งข้อความที่มีเนื้อหาที่กระตุ้นความอยากรู้ของเหยื่อ โดยมักจะกล่าวถึงการเปิดเผย วิดีโอ ที่ละเอียดอ่อนของเหยื่อพร้อมกับลิงก์เพื่อดาวน์โหลดไฟล์ RAR หรือ ZIP ที่ถูกบีบอัด แม้ว่าจะดูเหมือนไม่เป็นอันตราย แต่เมื่อเปิดขึ้นมา พวกมันจะกระตุ้นให้เกิดห่วงโซ่การติดเชื้อที่เกี่ยวข้องกับโปรแกรมดาวน์โหลดมัลแวร์ 2 ตัว รวมถึงสคริปต์แบตช์และสคริปต์ cmd สคริปต์ cmd รับผิดชอบในการเรียกใช้เครื่องมือขโมยข้อมูล Snake จากที่เก็บ GitLab ที่ผู้โจมตีควบคุม

Người dùng Facebook Việt Nam đang là mục tiêu của chiến dịch độc hại 'Snake'- Ảnh 1. — ข้อความที่มีลิงก์อันตรายถูกแพร่กระจายผ่านข้อความของ Facebook

Cybereason ได้ระบุเวอร์ชันของ Snake จำนวน 3 เวอร์ชัน โดยเวอร์ชันที่ 3 เป็นไฟล์ปฏิบัติการที่สร้างขึ้นโดย PyInstaller และมุ่งเป้าไปที่ผู้ใช้เบราว์เซอร์ Cốc Cốc ซึ่งเป็นที่นิยมในเวียดนาม

เมื่อรวบรวมข้อมูลแล้ว ข้อมูลการเข้าสู่ระบบและคุกกี้จะถูกแชร์บนแพลตฟอร์มต่างๆ รวมถึง Discord, GitHub และ Telegram นอกจากนี้ มัลแวร์ยังกำหนดเป้าหมายบัญชี Facebook โดยดึงข้อมูลคุกกี้ ซึ่งอาจบ่งบอกได้ว่าการเข้ายึดบัญชีดังกล่าวมีจุดประสงค์เพื่อแพร่กระจายมัลแวร์

แคมเปญนี้ดูเหมือนจะเชื่อมโยงกับแฮกเกอร์จากเวียดนาม เนื่องจากมีรายงานว่ารูปแบบการตั้งชื่อของที่เก็บข้อมูลที่ถูกควบคุมโดยผู้โจมตีนั้นมีการอ้างอิงภาษาเวียดนามในโค้ดต้นฉบับ เช่น 'hoang.exe' หรือ 'hoangtuan.exe' หรือเส้นทาง GitLab ที่ดูเหมือนจะอ้างอิงถึงชื่อ 'Khoi Nguyen'

Cybereason ยังสังเกตอีกว่ามัลแวร์ยังกำหนดเป้าหมายไปที่เบราว์เซอร์อื่นๆ เช่น Brave, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox และ Opera อีกด้วย

การค้นพบนี้เกิดขึ้นท่ามกลางการตรวจสอบที่เพิ่มมากขึ้นของ Facebook สำหรับการมองว่า Facebook ไม่ให้การสนับสนุนเหยื่อที่ถูกแฮ็กบัญชี เพื่อปกป้องตนเอง ผู้ใช้ควรระมัดระวังด้านความปลอดภัย โดยเฉพาะการใช้รหัสผ่านที่ซับซ้อนและการยืนยันตัวตนแบบสองขั้นตอน (2FA)

ลิงค์ที่มา