ไฟล์ Payload ขนาดเล็กมากจะถูกนำมาเก็บไว้ในแคชของเว็บเบราว์เซอร์และจะถูกปล่อยลงเครื่องภายหลังจนไม่ถูกตรวจจับClickFix อาจจะเป็นชื่อที่คุ้นเคยกันดีในเวลานี้ เพราะเป็นชื่อของการใช้งานหน้าจอแสดงความผิดพลาด หรือ Error ปลอมเพื่อหลอกให้เหยื่อติดตั้งมัลแวร์ แต่ชื่อนี้ก็ดังมากจนถูกนำเอามาใช้เป็นชื่อวิธีการปล่อยไฟล์มัลแวร์ หรือ Payload แบบใหม่ ที่อาจมีบางอย่างคล้ายคลึงกับ ClickFix ที่หลายคนคุ้นเคยแต่ก็ไม่ใช่เสียทีเดียวจากรายงานโดยเว็บไซต์ Cyber Press ได้กล่าวถึงการตรวจพบเครื่องมือสำหรับการหย่อน Payload ตัวใหม่ที่มีชื่อว่า ClickFix โดยทีมวิจัยอิสระจาก Dark Web Informer ได้กล่าวว่า วิธีการแบบใหม่นี้จะต่างไปจากการใช้งานการหลอกลวงแบบ ClickFix ในรูปแบบเดิม ๆ นั่นคือ ถึงแม้จะเป็นการแสดงข้อผิดพลาดแบบหลอกลวงเช่นเดียวกัน แต่ก็จะเป็นแค่ให้ผู้ใช้งานทำการคลิ๊กแค่เพียงคลิ๊กเดียว ก็จะเป็นการปล่อย Payload ลงมาจากส่วนแคช (Caches) ของตัวเว็บเบราว์เซอร์เพื่อติดตั้งมัลแวร์ลงบนเครื่องในทันที ซึ่งวิธีการดังกล่าวนี้ทางแฮกเกอร์ที่วางจำหน่ายเครื่องมือดังกล่าวผ่านทางเว็บบอร์ดใต้ดินได้โอ้อวดไว้ว่า จะทำให้เครื่องมือรักษาความปลอดภัยระดับ EDR (Endpoint Detection and Response) ไม่สามารถตรวจจับได้เลยทีเดียว เนื่องจากตัวเครื่องมือจะมองว่าเป็นเพียงซากไฟล์ที่หลงเหลืออยู่ ไม่มีอะไรผิดปกติพบวิธีปล่อย Payload แบบใหม่ ภาพจาก : https://cyberpress.org/clickfix-payload-hides-malware/โดยในการใช้งานนั้น แฮกเกอร์จะทำการส่งลิงก์หลอกลวงให้กับเหยื่อ โดยหลอกลวงว่าเว็บเบราว์เซอร์ต้องมีการอัปเดตโดยด่วน ซึ่งถ้าเหยื่อกดลิงก์ ก็จะมีหน้าจอลอย (Pop Up) ปรากฏขึ้นมา หรืออาจจะเห็นทางลัด (Short Cut) เขียนว่า “Click to Fix Cache Error” เพื่อหลอกว่าตัวแคชของเว็บเบราว์เซอร์มีปัญหา ต้องกดเพื่อแก้ไข หลังจากที่กดสิ่งที่ปรากฏมาดังกล่าว สคริปท์ก็จะเริ่มทำงานในฉากหลังเพื่อค่อย ๆ ดาวน์โหลดตัว Payload ที่มีความใหญ่ของไฟล์เพียงไม่กี่กิโลไบต์ (KB) ลงมาจากเว็บไซต์ที่แฮกเกอร์กำหนดไว้ ทำให้ไม่สามารถถูกตรวจจับจากระบบป้องกันได้ลงมาไว้ในส่วนของโฟลเดอร์แคชของเว็บเบราว์เซอร์ เช่น ของ Chome ก็จะเป็นโฟลเดอร์ Data/Default/Cache เป็นต้น แล้วก็จะทำการเปลี่ยนชื่อไฟล์ให้เป็นเหมือนไฟล์ชั่วคราวเพื่อหลอกลวงเหยื่อ อย่างเช่น “cache_001.dat” เป็นต้นหลังจากนั้นเพื่อการรันมัลแวร์โดยที่ไม่ต้องอาศัยการเขียนไฟล์หรือวางไฟล์ลงไปยังโฟลเดอร์ของระบบ (System) ตัวมัลแวร์ก็จะใช้งานคำสั่งที่เนียนไปกับตัวไฟล์ exe ของ File Explorer ด้วยการใช้คำสั่ง “explorer.exe /root,CacheFolder:RunPayload” ทำให้สามารถเนียนไปกับการทำงานของ Process ของ File Explorer ได้ตามปกติไม่มีอะไรผิดเพี้ยน ทำให้ไม่สามารถถูกตรวจจับด้วยเครื่องมือตรวจจับพฤติกรรมมัลแวร์ของ CrowdStrike หรือ Microsoft Defender ได้ โดยหลังจากที่มัลแวร์สามารถฝังตัวบนเครื่องได้สำเร็จ ตัวมัลแวร์ก็จะสามารถปฏิบัติการได้อย่างหลากหลายอย่างเช่น การขโมยข้อมูล, การเปิดประตูหลังของระบบ (Backdoor) หรือแม้แต่การฝังมัลแวร์เพื่อการเรียกค่าไถ่ (Ransomware) ก็สามารถทำได้เช่นเดียวกันมัลแวร์ตัวนี้ถูกขายอยู่บนเว็บบอร์ดใต้ดิน กับราคาเริ่มต้นที่ 300 ดอลลาร์สหรัฐ (9,486.75 บาท) ซึ่งผู้ซื้อจะได้รับแพ็คเกจที่ประกอบด้วย โค้ดต้นฉบับ (Source Code) ในรูปแบบ JavaScript และ PowerShell, เครื่องมือสร้าง (Builder) แบบ GUI, คู่มือการใช้งาน, และ เทมเพลตสำหรับการหลอกลวงแบบพร้อมใช้งาน ถ้าผู้ซื้อจ่ายเงินเพิ่มอีก 200 ดอลลาร์สหรัฐ (6,324.20 บาท) ผู้ซื้อก็สามารถดัดแปลงเพจหน้าสำหรับหลอกลวงเหยื่อแบบ Phishing ลอกเลียนแบบบริษัทต่าง ๆ ได้ โดยทางผู้ขายจะส่งเพจสำหรับการทำงานให้ผ่านทางลิงก์เข้ารหัส (Encrypted) นอกนั้นยังจะได้รับการอัปเดตแบบตลอดชีพ (Lifetime Update) อีกด้วย➤ Website : https://www.thaiware.com➤ Facebook : https://www.facebook.com/thaiware➤ Twitter : https://www.twitter.com/thaiware➤ YouTube : https://www.youtube.com/thaiwaretv
พบวิธีปล่อย Payload แบบใหม่ “ClickFix” แฝงตัวอยู่ในแคชของเว็บเบราว์เซอร์
by
Tags: