เตือนภัย! พบแอป Google Authenticator ปลอมระบาดหนัก พาเครื่องติดมัลแวร์จาก GitHub หลังใช้งาน

Google นั้นนอกจากจะเป็นชื่อที่ทุกคนคุ้นเคยเนื่องจากต้องใช้งานเป็นประจำแล้ว ยังเป็นชื่อที่แฮกเกอร์มักนำเอาไปใช้ประโยชน์บนแคมเปญหลอกลวงของพวกตนอยู่เสมอเนื่องด้วยชื่อเสียง, ความน่าเชื่อถือ และความจำเป็นของผลิตภัณฑ์ของแบรนด์สามารถนำไปสู่การหลอกลวงได้ง่าย และแคมเปญนี้ก็เช่นเดียวกัน

จากรายงานโดยทีมวิจัยแห่งบริษัท Malwarebyte บริษัทผู้เชี่ยวชาญด้านการพัฒนาเครื่องมือต่อต้านมัลแวร์ ได้มีการตรวจพบกิจกรรมใหม่ของแฮกเกอร์ที่ใช้แอปพลิเคชันปลอมที่มีการอ้างตนเป็น Google Authenticator แอปพลิเคชันสำหรับการยืนยันตัวตนที่เป็นที่นิยมในการใช้งานเพื่อการยืนยันตัวตนแบบ 2 ชั้น (2FA หรือ 2 Factors Authentication) ซึ่งทางทีมวิจัยได้มีการตรวจพบพฤติกรรมที่ใช้ชื่อบัญชี GitHub ว่า “authe-gogle” ซึ่งบัญชีดังกล่าวได้มีการสร้างจุดเก็บไฟล์ (Repository หรือ Repo) บน GitHub ที่มีชื่อว่า "authgg" โดยใน Repo ดังกล่าวได้มีการฝากไฟล์ Google Authenticator ตัวปลอมที่ปนเปื้อนมัลแวร์ภายใต้ชื่อ “Authenticator.exe”

โดยขั้นตอนการหลอกลวงเหยื่อนั้นจะเป็นการใช้โฆษณาปลอมที่ปรากฎขึ้นมาตอนที่เหยื่อกำลังค้นหาวิธีการเพิ่ม หรือ ปรับปรุงระบบความปลอดภัยของตนเอง ซึ่งทางทีมวิจัยได้กล่าวว่า โฆษณาดังกล่าวคล้ายกับของจริงมาก บางตัวยังมีขึ้นว่า Verified by Google เพื่อเพิ่มความน่าเชื่อถือเสียด้วยซ้ำ โดยหลังจากที่เหยื่อได้ทำการคลิกบนโฆษณาดังกล่าว ก็จะนำไปสู่หน้าที่ให้เหยื่อดาวน์โหลดแอปพลิเคชันปลอมดังกล่าว ซึ่งโดยมากมักจะไม่เอะใจหรือระบบอาจตรวจจับไม่ได้เนื่องจากความน่าเชื่อถือของตัว GitHub Repo นำไปสู่การติดมัลแวร์จากแอปพลิเคชันปลอมในที่สุด

ภาพจาก https://cybernews.com/security/google-being-impersonated-on-google-ads/

ซึ่งสำหรับมัลแวร์ที่แฝงตัวอยู่ในแอปพลิเคชันปลอมดังกล่าวนั้น ทางเว็บไซต์ Cybernews ได้ระบุว่า เป็นมัลแวร์ประเภทขโมยข้อมูล (Infostealer) ที่มีชื่อว่า DeerStealer ซึ่งเป็นมัลแวร์ที่มีที่มาจากรัสเซียและมีความสามารถในการเข้าถึงและขโมยข้อมูลส่วนบุคคลของเหยื่อ

สำหรับการป้องกันตัวนั้น ทาง Malwarebyte ได้แนะนำว่า ถ้าเป็นในระดับองค์กร (เนื่องจากหลายองค์กรนั้นมักมีการใช้งานการยืนยีนตัวตนหลายชั้น) การอบรมและฝึกฝนพนักงานเพื่อเพิ่มความตระหนักรู้ถึงภัยไซเบอร์ มีความเข้าใจว่าสิ่งใดที่ควรตั้งข้อสงสัย เพื่อเลี่ยงภัยจากไซเบอร์ รวมทั้งนำเอาเครื่องมือรักษาความปลอดภัยไซเบอร์เข้ามาใช้ในหลากรูปแบบมากขึ้น เช่นการใช้ End Point Security และหมั่นอัปเดตซอฟต์แวร์แอนตี้ไวรัสอย่างสม่ำเสมอ

และสำหรับผู้ใช้งานทั่วไปนั้น ทางทีมข่าวขอให้มีความระมัดระวัง อย่าหลงเชื่อโฆษณาต้องสงสัย และดาวน์โหลดแอปพลิเคชันจากแหล่งที่เชื่อถือได้ เช่น Google Authenticator ขอให้ดาวน์โหลดจาก Google Play หรือแอปสโตร์อย่างเป็นทางการอื่น ๆ ที่มีชื่อ Publisher เป็นบัญชีอย่างเป็นทางการของ Google เท่านั้น