ClickFix มามุขใหม่ ใช้หน้าจอตรวจสอบของ Cloudflare หลอกปล่อยมัลแวร์ใส่เครื่องเหยื่อ

เวลาเข้าใช้งานเว็บไซต์ หลายคนอาจจะคุ้นเคยกับหน้าตรวจสอบของ Cloudflare ซึ่งเป็นบริการการป้องกันเว็บไซต์จากการถูกโจมตีโดยวิธีการ DDoS (Distributed Denail-of-Service) กันดี แต่คราวนี้ กลับมีแฮกเกอร์จะใช้ประโยชน์จากหน้าตรวจสอบ (ปลอม) เพื่อการฝังมัลแวร์ลงบนเครื่องของเหยื่อ

จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบกลวิธีในการฝังมัลแวร์ลงเครื่องของเหยื่อด้วยวิธีการ ClickFix (การใช้หน้าเพจ หรือ Pop Up ปลอมในการสั่งการเหยื่อให้ทำตามคำสั่งเพื่อแก้ไขข้อผิดพลาด แต่แท้จริงแล้วเป็นการฝังมัลแวร์ลงเครื่องของเหยื่อ) ซึ่งตามปกตินั้น แฮกเกอร์ที่ใช้วิธีการดังกล่าวมักจะใช้หน้า Captcha ปลอม เพื่อหลอกลวงเหยื่อให้ทำตามคำสั่งของ Captcha ในการติดตั้งมัลแวร์ลงบนเครื่อง แต่สำหรับในครั้งนี้ ทางแฮกเกอร์แทนที่จะใช้หน้า Captcha แบบทั่วไป กลับทำการสร้างหน้าตรวจสอบว่าผู้ใช้งานเป็นมนุษย์หรือไม่ ? (Checking if the site connection is secure – Verify you are human) ของทาง Cloudflare แทน โดยหน้าเพจปลอมดังกล่าวมีหน้าตาที่คล้ายคลึงกับของจริงมาก ไม่ว่าจะมีการใช้คำที่เหมือนต้นฉบับ, การใช้โลโก้อย่างถูกต้อง ถูกตำแหน่ง ไปจนถึงการสุ่มเลข Ray ID ที่เหมือนกับเพจจริงทุกกระเบียดนิ้ว

ภาพจาก: https://cybersecuritynews.com/new-clickfix-attack-exploits-fake-cloudflare-human-check/

แต่สิ่งที่ต่างออกไปคือ เมื่อเหยื่อทำการกดติ๊กที่กล่อง Check Box แทนที่จะสามารถเข้าเว็บไซต์ได้เลยแบบหน้าจอของจริง กลับมาการรัน JavaScript เพื่อสั่งการในการรันสคริปท์ที่ซ่อนอยู่ขึ้นมาอีกที พร้อมข้อความคำสั่งต่าง ๆ ที่สั่งให้เหยื่อทำตามเพื่อให้ผ่านระบบทดสอบที่อ้างว่าเป็น “Cloudflare Challenge” ขณะเดียวกันตัวสคริปท์ก็จะทำการทำการคัดลอก “สคริปท์สำหรับดาวน์โหลดและติดตั้งมัลแวร์ในรูปแบบสคริปท์ PowerShell” ไว้ในส่วนของ Clipboard

ภาพจาก: https://cybersecuritynews.com/new-clickfix-attack-exploits-fake-cloudflare-human-check/

ซึ่งสำหรับตัวคำสั่งนั้นเรียกว่าสามารถเผลอทำได้ง่าย ๆ เนื่องจากสิ่งที่ต้องทำนั้นเป็นการสั่งให้เหยื่อ เปิดฟีเจอร์ Run ของตัว Windows ขึ้นมา แล้วทำการ Ctrl-v เพื่อวางตัวสคริปท์ลงในหน้าต่างของฟีเจอร์ Run แล้วทำการกด Enter เพื่อรันสคริปท์ดังกล่าว ซึ่งตัวมัลแวร์ (Payload) ที่ได้ทำการดาวน์โหลดลงมานั้นจะถูกเข้ารหัสในรูปแบบ Based-64 เพื่อสร้างความสับสนให้กับระบบ (Obfuscation) เพื่อหลบเลี่ยงการถูกตรวจจับ

ในที่นี้ทางแหล่งข่าวไม่ได้ระบุว่า แฮกเกอร์ใช้วิธีการดังกล่าวเพื่อปล่อยมัลแวร์ตัวใดลงสู่เครื่องของเหยื่อ แต่จากวิธีการที่ได้อธิบายมาข้างต้น ผู้อ่านอาจจะต้องมีความระมัดระวังตัวในการเข้าเว็บไซต์ต่าง ๆ มากยิ่งขึ้น และอย่าเผลอทำตามคำสั่งในรูปแบบที่กล่าวมาโดยเด็ดขาดเพื่อความปลอดภัยของตัวระบบ

➤ Website : https://www.thaiware.com
➤ Facebook : https://www.facebook.com/thaiware
➤ Twitter : https://www.twitter.com/thaiware
➤ YouTube : https://www.youtube.com/thaiwaretv