ไทยเซิร์ต เตือนมัลแวร์! เสี่ยงถูกสวมรอยบนเฟซบุ๊กได้ หากเปิดอ่านแจ้งเตือนจากเพื่อน

 

 

รูปที่ 1 ตัวอย่างการแจ้งเตือนที่พบ

12 พ.ค.2559 ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต) สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) รายงานว่า เมื่อวันที่ 10 พ.ค. ที่ผ่านมา ไทยเซิร์ตได้รับแจ้งว่ามีการแพร่กระจายมัลแวร์ผ่าน Facebook โดยลักษณะคือผู้ใช้จะได้รับแจ้งเตือนว่าถูกพาดพิงโดยบุคคลที่สาม ดังแสดงในรูปที่ 1

ไทยเซิร์ต ระบุว่า หากผู้ใช้คลิกเข้าไปดูข้อความแจ้งเตือนดังกล่าว จะถูกนำพาไปยังเว็บไซต์อื่นทันทีโดยไม่มีการแจ้งเตือน  เว็บไซต์ปลายทางที่ถูกนำพาไป ปรากฏข้อความว่าเป็นส่วนขยายของเบราว์เซอร์ สำหรับใช้เปลี่ยนสีของเว็บไซต์ Facebook และให้ดาวน์โหลดไฟล์ Instalador_Cores.scr มาติดตั้ง ดังรูปที่ 2
รูปที่ 2 หน้าเว็บไซต์ปลายทางมีให้ดาวน์โหลดไฟล์ Instalador_Cores.scr
 
ไฟล์ .scr ที่ดาวน์โหลดมา เป็นตัวติดตั้งส่วนขยาย (Extension) ของ Google Chrome ส่วนขยายนี้ทำหน้าที่สองอย่าง เบื้องหน้าเป็นโปรแกรมที่ใช้เปลี่ยนสีของเว็บไซต์ Facebook แต่เบื้องหลังแอบสวมรอยนำบัญชี Facebook ของผู้ใช้ไปโพสต์คอมเมนต์ในเว็บไซต์เพื่อแท็กชื่อเพื่อนคนอื่นหลอกให้ดาวน์โหลดมัลแวร์ต่อ

พฤติกรรมการทำงานของมัลแวร์

รายละเอียดของไฟล์มัลแวร์ที่พบ 

ชื่อไฟล์: Instalador_Cores.scr  ขนาด: 3,482,624 bytes 
MD5: add95d1e66128ab488dadda469b7b377 
SHA-256: 52eb68b2cef481d8c0a3a6ab5a85c5be9dcf2c70a81d0b7dfe0991a83bf6755b

พฤติกรรมการทำงาน 
เมื่อดับเบิ้ลคลิกไฟล์ Instalador_Cores.scr พบหน้าจอให้ติดตั้งโปรแกรมดังรูปที่ 3

รูปที่ 3 หน้าจอให้ติดตั้งโปรแกรม

เมื่อกดปุ่ม “Instalar” โปรแกรมจะติดตั้งส่วนขยาย (Extension) ของเบราว์เซอร์ Google Chrome โดยจะสร้างไฟล์ไว้ที่ไดเรกทอรี C:\User\[ชื่อผู้ใช้]\AppData\Local\Google\Update จากนั้นจะสร้าง Shortcut สำหรับเรียกใช้งาน Google Chrome ไว้ที่ Desktop โดยตัว Shortcut ดังกล่าวจะเป็นการเปิดใช้งาน Google Chrome โดยโหลดส่วนเสริมที่ถูกติดตั้งใหม่ขึ้นมาทำงานด้วย
 
หากเปิดใช้งาน Google Chrome จาก Shortcut ที่ถูกสร้างขึ้นใหม่ และเข้าเว็บไซต์ Facebook จะพบว่าสีของเว็บไซต์ Facebook ได้ถูกเปลี่ยนเป็นสีเขียว และพบว่ามีการติดตั้งส่วนขยายที่สามารถใช้เปลี่ยนสีของเว็บไซต์ Facebook ได้ ดังรูปที่ 4
รูปที่ 4 ตัวอย่างส่วนขยายของ Google Chrome ที่สามารถเปลี่ยนสีเว็บไซต์ Facebook ได้
 
ไทยเซิร์ต ระบุต่อว่าส่วนขยายนี้มีการทำงานเบื้องหลังคือจะตรวจสอบว่ามีบัญชีผู้ใช้ Facebook ล็อกอินอยู่ในเบราว์เซอร์หรือไม่ หากพบว่ามีอยู่ จะใช้บัญชีนั้นสวมรอยโพสต์คอมเมนต์ในเว็บไซต์ pinandwin8.co.nz
 
ตัวอย่างลักษณะการทำงานที่ส่วนขยายสวมรอยบัญชีผู้ใช้ Facebook จากในเบราว์เซอร์ไปโพสต์คอมเมนต์โดยไม่ได้รับอนุญาต เป็นดังรูปที่ 5

รูปที่ 5 ตัวอย่างลักษณะการทำงานที่สวมรอยบัญชี Facebook โพสต์คอมเมนต์โดยไม่ได้รับอนุญาต

จากกรณีนี้ ไทยเซิร์ตพบว่าผู้สร้างมัลแวร์นำระบบแจ้งเตือนคอมเมนต์ของ Facebook มาใช้เป็นหนึ่งในวิธีการแพร่กระจาย เนื่องจาก Facebook อนุญาตให้ผู้พัฒนาเว็บไซต์สามารถติดตั้งปลั๊กอิน Facebook Comments (https://developers.facebook.com/docs/plugins/comments/) เพื่อให้ผู้เยี่ยมชมเว็บไซต์สามารถแสดงความคิดเห็นในหน้าเว็บไซต์ได้โดยใช้ล็อกอินของ Facebook ซึ่งในช่องคอมเมนต์ผู้ใช้สามารถพาดพิงถึงเพื่อนที่อยู่ในรายชื่อผู้ติดต่อได้ ดังรูปที่ 6 ซึ่งเมื่อผู้ที่ถูกพาดพิงได้รับแจ้งเตือนและกดอ่าน ก็จะถูกนำมาที่เว็บไซต์ที่มีคอมเมนต์ดังกล่าวอยู่

รูปที่ 6 การพาดพิงถึงเพื่อนในช่อง Facebook Comments

ช่องทาง Facebook Comments สามารถใช้ในการหลอกให้ผู้ใช้เข้าไปยังเว็บไซต์อันตรายได้ เช่น เว็บไซต์ที่หลอกให้ดาวน์โหลดมัลแวร์ หรือหน้าเว็บไซต์ปลอมที่หลอกขโมยรหัสผ่าน (Phishing) เป็นต้น

ข้อแนะนำในการป้องกันและแก้ไข

การแก้ไขหากตกเป็นเหยื่อ สำหรับผู้ใช้ที่ตกเป็นเหยื่อและเผลอติดตั้งมัลแวร์จากไฟล์ Instalador_Cores.scr สามารถแก้ไขได้ดังนี้

1. ไปที่ไดเรกทอรี C:\User\[ชื่อผู้ใช้]\AppData\Local\Google\Update แล้วลบไฟล์ที่มัลแวร์สร้าง ดังนี้

  • /background.html
  • /css/spectrum.css
  • /css/style.css
  • /img/icon.png
  • /img/icon128.png
  • /img/icon19.png
  • /img/icon38.png
  • /img/icon48.png
  • /js/background.js
  • /js/contentScript.js
  • /js/lib/jquery-1.8.2.min.js
  • /js/lib/spectrum.js
  • /js/popup.js
  • /manifest.json
  • /popup.html

 

2. ลบไอคอน Google Chrome ที่ถูกสร้างขึ้นใหม่ออกจาก Desktop การป้องกันการโจมตีลักษณะนี้ในอนาคต

  • ผู้ใช้ Facebook ควรอ่านข้อความแจ้งเตือนที่ปรากฏบนหน้าจอ โดยเฉพาะเมื่อ Facebook แจ้งว่าการคลิกลิงก์จะเป็นการเปลี่ยนเส้นทางไปยังเว็บไซต์อื่น
  • หากคลิกลิงก์จาก Facebook แล้วพบหน้าจอขอให้ใส่รหัสผ่าน ไม่ควรใส่ข้อมูลเพราะอาจเป็นหน้าเว็บไซต์หลอกลวง (Phishing)
  • หากคลิกลิงก์จาก Facebook แล้วพบหน้าจอขอให้ดาวน์โหลดโปรแกรม ควรพิจารณาก่อนดาวน์โหลดโปรแกรมนั้นเพราะอาจเป็นอันตรายได้
  • ผู้ดูแลระบบอาจพิจารณาบล็อคเว็บไซต์ pinandwin8.co.nz เนื่องจากเป็นเว็บไซต์ที่เผยแพร่มัลแวร์

 

ร่วมบริจาค สนับสนุนการทำงานของ 'ประชาไท' ร่วมสร้างและรักษาสื่อเสรี Prachatai.com (ไม่มีขั้นต่ำ)

โอนเงิน บัญชีกรุงไทย 091-0-10432-8 "มูลนิธิสื่อเพื่อการศึกษาของชุมชน FCEM"

โอนเงิน PayPal / บัตรเครดิต https://PayPal.me/Prachatai (รายงานยอดบริจาคสนับสนุน)

ติดตามประชาไทอัพเดท ได้ที่:
เฟซบุ๊ก https://fb.me/prachatai
ทวิตเตอร์ https://twitter.com/prachatai
LINE ไอดี = @prachatai

แสดงความคิดเห็น

พื้นที่ประชาสัมพันธ์