พบแคมเปญแพร่มัลแวร์ผ่านไฟล์ PDF ที่ใช้เทคนิคการตั้งชื่อไฟล์สุดแยบยล ! เพื่อลวงเหยื่อ

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จาก 'HP Wolf Security' ได้มีการค้นพบแคมเปญการแพร่มัลแวร์สุดแยบยลของผู้โจมตีกลุ่มหนึ่ง ซึ่งใช้วิธีการส่งอีเมลหลอกล่อเหยื่อ พร้อมแนบไฟล์ PDF อันตรายที่มีการฝังมัลแวร์เอาไว้อีกที โดยมัลแวร์ชนิดนั้นมีชื่อว่า 'Snake Keylogger' เป็นมาโครไวรัส (Macro virus) ที่ใส่คำสั่งทำงานอัตโนมัติลงในไฟล์เอกสาร ทำให้ไฟล์เอกสารเหล่านั้นติดไวรัสได้ ส่วนใหญ่พบได้ในไฟล์ Microsoft Word และ Excel ซึ่งถ้าเหยื่อติดกับดัก ก็จะถูกดักจับข้อมูลทุกการพิมพ์บนคีย์บอร์ด และขโมยข้อมูลต่าง ๆ จากบนเครื่องไปนั่นเอง

ข้อมูลจากผู้เชี่ยวชาญ ได้ระบุรายละเอียดเพิ่มเติมว่า ผู้โจมตีจะทำการส่งอีเมลให้กับเหยื่อพร้อมแนบไฟล์ PDF ที่ใช้ชื่อว่า "REMMITANCE INVOICE.pdf" หรือแปลว่า "ใบแจ้งหนี้การโอนเงิน" โดยรายละเอียดภายในอีเมลก็จะมีข้อความระบุเอาไว้ว่าจะจ่ายเงินให้กับผู้รับข้อความ เป็นการหลอกล่อคนเปิดไฟล์ ซึ่งวิธีข้างต้นถือเป็นเทคนิคการหลอกล่อปกติ หรือ ที่เราเรียกกันว่า "การฟิชชิง" (Phishing) นั่นเอง

อย่างไรก็ตามความอันตรายที่แท้จริงไม่ได้อยู่ตรงนั้น เพราะไฟล์ PDF ดังกล่าวไม่ใช่มัลแวร์ แต่เป็นไฟล์ 'Docx' หรือ ไฟล์เอกสารของโปรแกรม Microsoft Word ที่ฝังอยู่ภายในไฟล์ PDF อีกที และมีคำสั่งของมัลแวร์ Snake Keylogger แฝงตัวอยู่ 

ซึ่งตามปกติถ้าโปรแกรม Adobe Reader ที่ใช้เปิดไฟล์ PDF จับได้ว่ามีการฝังเอกสารเพิ่มเติมเข้ามา โปรแกรมมักจะมีข้อความแจ้งเตือนผู้ใช้โดยใช้ประโยคดังนี้

"The file .......(ชื่อไฟล์)....... may contain programs, macros, or viruses that could potentially harm your computer. Open the file only if you sure it is safe" 

แปลว่า "ไฟล์นี้ชื่อ..... อาจมีการแฝงไวรัส และ มาโครที่มาทำอันตรายต่อคอมพิวเตอร์ของคุณได้ ควรเปิดไฟล์เมื่อแน่ใจว่ามันปลอดภัย"

และปกติถ้ามันไม่มีอะไร บางคนอาจจะยินยอมหรือกลัวและปิดไฟล์ไปเพื่อตัดปัญหา แต่ไม่ใช่กับเคสนี้ เพราะไฟล์ดังกล่าวคือมัลแวร์ และผู้โจมตียังใช้เทคนิคการตั้งชื่อไฟล์ให้คนเข้าใจผิดและเผลอเปิดไฟล์ดังกล่าวโดยไม่รู้ตัว

โดยไฟล์ 'Docx' นั้นมีชื่อว่า 'has been verified. However PDF, Jpeg, xlsx, .docs' ซึ่งหากรวมเข้าไปกับบริบทของการแจ้งเตือนดังกล่าว ก็จะทำให้ความหมายของมันเปลี่ยนไปดังภาพที่ปรากฏ

หมายเหตุ: ไฟล์ในภาพไม่ใช่มัลแวร์ แต่เป็นตัวอย่างการฝังไฟล์และตั้งชื่อตามแคมเปญที่แหล่งข่าวใช้เป็นภาพประกอบ

แปลว่า "ไฟล์ดังกล่าวได้รับการอนุมัติแล้ว อย่างไรก็ตามไฟล์ PDF, Jpeg, xlsx, .docs อาจมีการแฝงไวรัส และ มาโครที่มุ่งร้ายต่อคอมพิวเตอร์ของคุณ ควรเปิดเมื่อแน่ใจว่าไฟล์ปลอดภัย"

โดยจุดสำคัญคือประโยคที่บอกว่า "ไฟล์ได้รับการอนุมัติแล้ว" วินาทีที่คุณเห็นการแจ้งเตือนนี้ มันจะทำให้คุณเข้าใจว่า "ไฟล์นี้ปลอดภัย" และเมื่อคุณเปิดตามคำลวง หน้าจอก็จะเปิดไฟล์ Microsoft Word ชื่อ "has been verified. However PDF, Jpeg, xlsx, .docs" ขึ้นมานั่นเอง จากนั้นมาโครไวรัส (macro virus) ก็จะทำงานและรันคำสั่งของมัลแวร์ 'Snake Keylogger' ทันที พร้อมกับความสามารถในการดักจับทุกตัวอักษรที่คุณพิมพ์ และขโมยข้อมูลของคุณ 

เบื้องต้นไม่มีข้อมูลระบุว่ามีเหยื่อถูกการโจมตีนี้ไปกี่ราย แต่นักวิจัยที่พบได้ทำการออกมาเตือนให้ผู้ใช้งานระวัง ซึ่งนี่เป็นหนึ่งในเหตุการณ์แพร่กระจายมัลแวร์ ที่ผู้โจมตีเลือกใช้วิธีอันชาญฉลาด และหากใครไม่ตรวจสอบข้อมูลให้ดีก็จะตกเหยื่อได้โดยง่าย ทั้งนี้ถ้าใครรู้ตัวว่าโดนผู้ไม่ประสงค์ดีทำการฟิชชิ่งแบบนี้เข้ามาบ่อย โปรดอย่าคลิกดูข้อมูลหรือไฟล์ที่แนบมาเด็ดขาด เพราะอาจเป็นการเปิดประตูบ้านต้อนรับให้แฮกเกอร์เข้าโจมตีเครื่องคุณเอาได้