แฮกเกอร์จากเกาหลีเหนือใช้มัลแวร์ ForceCopy ขโมยรหัสผ่านจากเว็บเบราว์เซอร์

แฮกเกอร์จากเกาหลีเหนือนั้นเรียกได้ว่ามีชื่อเสียงมากในวงการความปลอดภัยไซเบอร์ จากความสามารถในการเจาะระบบ และการใช้งานมัลแวร์หลากหลายประเภท และในขณะนี้ก็ได้ตกมาเป็นประเด็นอีกครั้ง

จากรายงานโดยเว็บไซต์ The Hacker News ได้รายงานถึงการตรวจพบพฤติกรรมการโจมตีครั้งใหม่ของกลุ่มแฮกเกอร์ที่มีชื่อว่า Kimsuky ซึ่งเป็นกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากทางการเกาหลีเหนือโดยทีมวิจัยจาก AhnLab Security Intelligence Center (ASEC) โดยการโจมตีดังกล่าวนั้นเป็นการใช้วิธีการ Phishing เพื่อหลอกลวงให้เหยื่อดาวน์โหลดไฟล์แฝงมัลแวร์เพื่อปล่อยมัลแวร์ที่มีความสามารถในการขโมยข้อมูลรหัสผ่านจากเว็บเบราว์เซอร์ที่มีชื่อว่า ForceCopy

โดยรายละเอียดของการโจมตีนั้น แฮกเกอร์จะทำการส่งอีเมล Phishing ไปยังเหยื่อพร้อมไฟล์แนบ โดยไฟล์แนบนามสกุล .LNK (ไฟล์ Internet Shortcut) จะปลอมแปลงหน้าตาจนเนียนคล้ายกับไฟล์ PDF หรือไฟล์ที่ถูกสร้างโดย Microsoft Office ซึ่งเมื่อเหยื่อหลงเชื่อเปิดไฟล์ดังกล่าว ตัวสคริปท์ PowerShell ที่ซ่อนอยู่ภายใน หรืออาจจะเป็นไฟล์ mshta.exe (ไฟล์สำหรับรัน HTA หรือ HTML Application) ขึ้นมาเพื่อทำการดาวน์โหลดไฟล์มัลแวร์ลงมารันบนเครื่องของเหยื่อ โดยบนแคมเปญนี้จะเป็นแบบผสมหลายตัวด้วยกัน

ซึ่งมัลแวร์ที่ทางแหล่งข่าวระบุมานั้นก็ล้วนแต่มีความสามารถ ไม่ว่าจะเป็น RDP Wrapper ซึ่งเป็นเครื่องมือสำหรับเข้าใช้งานควบคุมเครื่องจากทางไกลในรูปแบบ RDP (Remote Desktop Protocol), PEBBLEDASH ซึ่งเป็นโทรจัน (Trojan) ที่มีความสามารถในการอัปโหลด, ดาวน์โหลด, รันไฟล์, จัดการ Process เป็นต้น, และตัวใหม่ล่าสุดอย่าง ForceCopy ซึ่งเป็นมัลแวร์ประเภทเพื่อการขโมยข้อมูล (Infostealer) ที่มีความสามารถในการขโมยรหัสผ่านต่าง ๆ ที่ถูกบันทึกไว้บนเว็บเบราว์เซอร์

เพื่อความปลอดภัยในการใช้งาน ผู้อ่านจะต้องมีความระมัดระวังในการเปิดไฟล์ที่ได้รับจากบุคคลต้องสงสัยอยู่เสมอ

➤ Website : https://www.thaiware.com
➤ Facebook : https://www.facebook.com/thaiware
➤ Twitter : https://www.twitter.com/thaiware
➤ YouTube : https://www.youtube.com/thaiwaretv