มัลแวร์ตัวใหม่ ปลอมตัวเป็นส่วนขยายของเกม Roblox ส่งผลกระทบผู้ใช้ Chrome และ Edge กว่า 3 แสนราย
การปล่อยมัลแวร์สามารถจัดการได้หลายทาง ไม่ว่าจะเป็นการแฮกสู่เครื่องของเหยื่อโดยตรงซึ่งค่อนข้างยุ่งยาก การปล่อยด้วยวิธีหลอกลวงเลยกลายเป็นวิธีการที่นิยมมากกว่า ซึ่งก็มีตั้งแต่การหลอกให้ดาวน์โหลดผ่านอีเมลด้วยวิธี Phishing การใช้เว็บปลอม และอีกวิธีที่กำลังมาแรงนั่นคือการปล่อยส่วนเสริมหรือ Extension ของเว็บเบราว์เซอร์ปลอม
จากรายงานข่าวโดยเว็บไซต์ The Hacker News ทางทีมวิจัยแห่ง ReasonLabs บริษัทผู้เชี่ยวชาญด้านระบบการรักษาความปลอดภัยไซเบอร์แบบ End Point ได้มีการตรวจพบได้ประกาศถึงการตรวจพบพฤติกรรมการแพร่กระจายมัลแวร์ตัวใหม่ที่ยังไม่ถูกระบุชื่อ ซึ่งมัลแวร์ตัวดังกล่าวนี้เองจะปลอมตัวอยู่ในฐานะ Extension หรือ ส่วนเสริมของเว็บเบราว์เซอร์ Google Chrome และ Microsoft Edge โดยจะเป็นการหลอกเหยื่อให้ดาวน์โหลด Extension ปลอมดังกล่าวจากเว็บไซต์ปลอม โดยแอบอ้างว่า เป็นส่วนเสริมสำหรับวิดีโอเกมส์ออนไลน์ หรือ สำหรับเว็บไซต์รับชมคลิปวิดีโอชื่อดัง ซึ่งส่วนเสริมจะมีการตั้งชื่อที่ชวนให้เชื่อว่าเกี่ยวข้องกับแอปพลิเคชันหรือเว็บไซต์ดังกล่าวจริง ๆ เช่น Roblox FPS Unlocker, YouTube, VLC media player, Steam, และ KeePass เป็นต้น ซึ่งตัว Extension ปลอมดังกล่าวนั้นไฟล์ติดตั้งจะมารูปแบบไฟล์ที่ถูก Digital Signed อย่างถูกต้องเพื่อหลอกระบบว่าเป็นของแท้ โดยทางทีมวิจัยได้ระบุถึงตัวเลขที่น่าตกใจว่า มีผู้ตกเป็นเหยื่อแล้วมากกว่า 3 แสนรายทั่วโลก
สำหรับการทำงานของมัลแวร์ดังกล่าวนั้น หลังจากที่เหยื่อได้ทำการติดตั้งแล้ว ตัวมัลแวร์ก็จะเริ่มทำการรันสคริปท์ PowerShell ขึ้นมาเพื่อทำการดาวน์โหลดมัลแวร์ตัวจริงลงมาแล้วทำการรัน หลังจากนั้นมัลแวร์ก็จะเริ่มทำการดัดแปลง Registry ต่าง ๆ ที่อยู่บนเครื่องเพื่อดาวน์โหลด Extension เพิ่มเติมมาจากเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) เข้าบนเครื่องเพื่อทำการดัดแปลงผลการค้นหาบน Search Engine เช่น Ask.com, Bing, และ Google โดยผลการค้นหาที่ถูกดัดแปลงนั้นจะนำพาเหยื่อไปสู่เว็บไซต์อันตราย และทางทีมวิจัยยังได้ระบุอีกว่า Extension ปลอมต่าง ๆ ที่กล่าวมานั้น เหยื่อไม่สามารถที่จะสั่งปิดด้วยตนเองได้ถึงแม้จะมีการเปิดโหมดผู้พัฒนา หรือ Developer Mode แล้วก็ตาม
ภาพจาก : https://thehackernews.com/2024/08/new-malware-hits-300000-users-with.html
ทางทีมวิจัยได้ระบุถึงวิธีการแก้ไขถ้าผู้ใช้งานเบราว์เซอร์ Chrome และ Edge เผลอติดตั้ง Extension ปลอมดังกล่าวจนได้รับผลกระทบจากมัลแวร์ให้ทำการลบตารางการทำงานที่สั่งให้มัลแวร์ทำงานซ้ำ (Reactivated) ในแต่ละวัน ลบ Registry Keys ที่ผิดปกติต่าง ๆ รวมถึงลบโฟลเดอร์ตามที่มีรายชื่อต่อไปนี้
- C:Windowssystem32Privacyblockerwindows.ps1
- C:Windowssystem32Windowsupdater1.ps1
- C:Windowssystem32WindowsUpdater1Script.ps1
- C:Windowssystem32Optimizerwindows.ps1
- C:Windowssystem32Printworkflowservice.ps1
- C:Windowssystem32NvWinSearchOptimizer.ps1 - 2024 version
- C:Windowssystem32kondserp_optimizer.ps1 - May 2024 version
- C:WindowsInternalKernelGrid
- C:WindowsInternalKernelGrid3
- C:WindowsInternalKernelGrid4
- C:WindowsShellServiceLog
- C:windowsprivacyprotectorlog
- C:WindowsNvOptimizerLog
➤ Website : https://www.thaiware.com
➤ Facebook : https://www.facebook.com/thaiware
➤ Twitter : https://www.twitter.com/thaiware
➤ YouTube : https://www.youtube.com/thaiwaretv