รูปที่ 1 ตัวอย่างการแจ้งเตือนที่พบ

12 พ.ค.2559 ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต) สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) รายงานว่า เมื่อวันที่ 10 พ.ค. ที่ผ่านมา ไทยเซิร์ตได้รับแจ้งว่ามีการแพร่กระจายมัลแวร์ผ่าน Facebook โดยลักษณะคือผู้ใช้จะได้รับแจ้งเตือนว่าถูกพาดพิงโดยบุคคลที่สาม ดังแสดงในรูปที่ 1

ไทยเซิร์ต ระบุต่อว่าส่วนขยายนี้มีการทำงานเบื้องหลังคือจะตรวจสอบว่ามีบัญชีผู้ใช้ Facebook ล็อกอินอยู่ในเบราว์เซอร์หรือไม่ หากพบว่ามีอยู่ จะใช้บัญชีนั้นสวมรอยโพสต์คอมเมนต์ในเว็บไซต์ pinandwin8.co.nz

 

ตัวอย่างลักษณะการทำงานที่ส่วนขยายสวมรอยบัญชีผู้ใช้ Facebook จากในเบราว์เซอร์ไปโพสต์คอมเมนต์โดยไม่ได้รับอนุญาต เป็นดังรูปที่ 5

รูปที่ 5 ตัวอย่างลักษณะการทำงานที่สวมรอยบัญชี Facebook โพสต์คอมเมนต์โดยไม่ได้รับอนุญาต

จากกรณีนี้ ไทยเซิร์ตพบว่าผู้สร้างมัลแวร์นำระบบแจ้งเตือนคอมเมนต์ของ Facebook มาใช้เป็นหนึ่งในวิธีการแพร่กระจาย เนื่องจาก Facebook อนุญาตให้ผู้พัฒนาเว็บไซต์สามารถติดตั้งปลั๊กอิน Facebook Comments (https://developers.facebook.com/docs/plugins/comments/) เพื่อให้ผู้เยี่ยมชมเว็บไซต์สามารถแสดงความคิดเห็นในหน้าเว็บไซต์ได้โดยใช้ล็อกอินของ Facebook ซึ่งในช่องคอมเมนต์ผู้ใช้สามารถพาดพิงถึงเพื่อนที่อยู่ในรายชื่อผู้ติดต่อได้ ดังรูปที่ 6 ซึ่งเมื่อผู้ที่ถูกพาดพิงได้รับแจ้งเตือนและกดอ่าน ก็จะถูกนำมาที่เว็บไซต์ที่มีคอมเมนต์ดังกล่าวอยู่

รูปที่ 6 การพาดพิงถึงเพื่อนในช่อง Facebook Comments

ช่องทาง Facebook Comments สามารถใช้ในการหลอกให้ผู้ใช้เข้าไปยังเว็บไซต์อันตรายได้ เช่น เว็บไซต์ที่หลอกให้ดาวน์โหลดมัลแวร์ หรือหน้าเว็บไซต์ปลอมที่หลอกขโมยรหัสผ่าน (Phishing) เป็นต้น

ข้อแนะนำในการป้องกันและแก้ไข

การแก้ไขหากตกเป็นเหยื่อ สำหรับผู้ใช้ที่ตกเป็นเหยื่อและเผลอติดตั้งมัลแวร์จากไฟล์ Instalador_Cores.scr สามารถแก้ไขได้ดังนี้

1. ไปที่ไดเรกทอรี C:\User\[ชื่อผู้ใช้]\AppData\Local\Google\Update แล้วลบไฟล์ที่มัลแวร์สร้าง ดังนี้

2. ลบไอคอน Google Chrome ที่ถูกสร้างขึ้นใหม่ออกจาก Desktop การป้องกันการโจมตีลักษณะนี้ในอนาคต