แฮกเกอร์ปล่อยมัลแวร์ PLAYFULGHOST ใช้ SEO หลอกเหยื่อเข้าเว็บโหลดแอป VPN ปลอม
การใช้เทคนิค Search Engine Optimization หรือ SEO มักเป็นเทคนิคยอดฮิตของนักการตลาดออนไลน์ในการนำเอาไปใช้เพื่อดันหน้าเว็บไซต์ขึ้นหน้าแรกของการค้นหา แน่นอนว่าเทคนิคเดียวกันนี้ แฮกเกอร์ย่อมนำเอาไปช่วยในการดันเว็บไซต์ปลอมเพื่อหลอกลวงผู้ใช้งานด้วยอย่างแน่นอน และนี่ก็เป็นอีกกรณีหนึ่งของการนำเอาเทคนิคการตลาดไปใช้ในเชิงลบดังกล่าว
จากรายงานโดยเว็บไซต์ The Hacker News ได้รายงานถึงการปล่อยมัลแวร์ตัวใหม่ที่มีชื่อว่า PLAYFULGHOST ซึ่งเป็นมัลแวร์ประเภทเปิดประตูหลังของระบบ (Backdoor) ด้วยการใช้เทคนิค SEO ที่เป็นที่นิยมในหมู่นักทำการตลาดออนไลน์ ในการนำมาดันเว็บไซต์ปลอมให้ขึ้นบนหน้า 1 ของ Search Engine หลอกให้เหยื่อที่ทำการค้นหาแอปพลิเคชัน VPN (Virtual Private Network) เช่น แอปพลิเคชัน LetsVPN ซึ่งเป็นแอปพลิเคชันที่มีอยู่จริง แต่แฮกเกอร์นำเอามาสอดไส้มัลแวร์ดังกล่าว เพื่อลอบเข้าสู่เครื่องเหยื่อที่หลงเชื่อดาวน์โหลดไป นอกจากนั้นแล้วยังมีการตรวจพบอีกว่าบางเว็บไซต์มีการใช้เล่ห์เหลี่ยม หลอกให้ดาวน์โหลดไฟล์ RAR ซึ่งเป็นไฟล์บีบอัดที่มีการซ่อนมัลแวร์ไว้ข้างใน ด้วยการตั้งนามสกุลไฟล์เป็น .jpg ขึ้นมาบังหน้าแทน
โดยไม่ว่ามัลแวร์จะมาในรูปแบบใด แต่เมื่อมีการติดตั้งลงเครื่องแล้วทำการเปิดใช้งานแอปพลิเคชันปลอมขึ้นมาแล้ว ตัวมัลแวร์ในรูปแบบแอปพลิเคชันปลอมจะทำการดาวน์โหลดมัลแวร์ตัวที่ 2 ลงมาซึ่งเป็นมัลแวร์แบบชั่วคราวที่ทำหน้าที่เป็นนกต่ออีกชั้นการทำหน้าที่ดาวน์โหลดเครื่องมือสำหรับการเปิดประตูหลังของระบบ (Backdoor) และตัวมัลแวร์ตัวจริงลงมาสู่เครื่องของเหยื่ออีกทีหนึ่ง ทางทีมวิจัยยังได้พบอีกวิธีการหนึ่งที่แฮกเกอร์ใช้ นั่นคือ การหลอกให้เหยื่อเปิดไฟล์ Internet Shortcut (.INK) ที่มีการแอบซ่อนสคริปท์ซึ่งจะทำหน้าที่ทั้งรันในส่วนของมัลแวร์นกต่อให้ดาวน์โหลดมัลแวร์นกต่อตัวที่ 2 ลงมา และประกอบไฟล์ย่อย 2 ไฟล์ (ไฟล์ t และ h ซึ่งเป็นการแยกข้อมูลไว้คนละส่วนสำหรับการเลี่ยงการถูกระบบตรวจจับ) เข้าเป็นไฟล์ .DLL ซึ่งทำหน้าที่ร่วมกับมัลแวร์นกต่อตัวที่ 2 ในการดาวน์โหลดมัลแวร์ PLAYFULGHOST ลงสู่เครื่อง โดยทีมวิจัยได้ระบุว่า เป็นวิธีการโจมตีที่ซับซ้อนมาก
ภาพจาก : https://thehackernews.com/2025/01/playfulghost-delivered-via-phishing-and.html
ซึ่งมัลแวร์ PLAYFULGHOST นั้นมีประสิทธิภาพในการขโมยข้อมูลเครื่องของเหยื่อที่มากมาย ไม่ว่าจะเป็นการดักจับการพิมพ์ของคีย์บอร์ด (Keylogger), บันทึกภาพหน้าจอ, บันทึกเสียง, รัน Shell Code จากระยะไกล, ส่งไฟล์ใหม่อย่างเช่นมัลแวร์ใหม่ไปยังเครื่องเหยื่อเพื่อทำการรัน ไม่เพียงเท่านั้น ยังมีความสามารถในการเก็บข้อมูลบนแอปพลิเคชันแชทชื่อดังของจีนอย่าง QQ ไปจนถึงการลบแคชบนเว็บเบราว์เซอร์หลายตัว เช่น Sogou, QQ, 360 Safety, Firefox, และ Google Chrome ถ้ายังเลวร้ายไม่พอ ตัวมัลแวร์ยังสามารถลบ Event Logs บน Windows ให้ไม่สามารถตามร่องรอยได้อีกด้วย ซึ่งทั้งหมดนี้เป็นเพียงส่วนหนึ่งในความสามารถอันมากหลายของมัลแวร์ตัวนี้เท่านั้น
➤ Website : https://www.thaiware.com
➤ Facebook : https://www.facebook.com/thaiware
➤ Twitter : https://www.twitter.com/thaiware
➤ YouTube : https://www.youtube.com/thaiwaretv