แฮกเกอร์ใช้ข้อความบน WhatsApp เพื่อแพร่กระจายมัลแวร์ SORVEPOTEL เข้าสู่ระบบ Windows

แอปพลิเคชันสำหรับการแชทที่ได้รับความนิยมมากที่สุดในโลกคงจะหนีไม่พ้น WhatsApp ที่ปัจจุบันก็ได้มีเวอร์ชันในการใช้งานที่หลากหลาย รวมไปถึงการใช้งานบน Windows ด้วย ซึ่งทางแฮกเกอร์ก็ไม่วายที่จะใช้ช่องทางนี้ในการปล่อยมัลแวร์อย่างที่ผู้ใช้งานอาจไม่รู้เนื้อรู้ตัว

จากรายงานโดยเว็บไซต์ Cyber Press ได้กล่าวถึงการตรวจพบแคมเปญการแพร่กระจายมัลแวร์ SORVEPOTEL โดยทีมวิจัยจาก Trend บริษัทผู้เชี่ยวชาญด้านภัยไซเบอร์ ซึ่งทางทีมวิจัยได้เผยว่า แคมเปญในการแพร่กระจายมัลแวร์ในครั้งนี้จะมุ่งเน้นกลุ่มผู้ใช้งานระบบปฏิบัติการ Windows แต่ที่แปลกไปจากแคมเปญอื่นนั่นคือ การแพร่กระจายในครั้งนี้จะใช้การแพร่กระจายมัลแวร์ผ่านทางช่องทางแอปพลิเคชันแชทอย่าง WhatsApp ซึ่งถึงแม้จะมีเวอร์ชัน Windows ให้ใช้งาน แต่โดยทั่วไปมักจะเป็นการใช้งานบนโทรศัพท์มือถือเสียมากกว่า โดยเป้าหมายของการโจมตีนั้นจะเป็นกลุ่มเหยื่อระดับองค์กรธุรกิจในอุตสาหกรรมสำคัญต่าง ๆ เช่น อุตสาหกรรมการผลิต, การศึกษา, การก่อสร้าง และเทคโนโลยี ซึ่งทางทีมวิจัยได้ตรวจพบคลัสเตอร์การแพร่กระจายมัลแวร์ดังกล่าวมากถึง 457 คลัสเตอร์ จากคลัสเตอร์ต้องสงสัยทั้งหมด 477 คลัสเตอร์ ในประเทศบราซิล

ทางทีมวิจัยยังได้เปิดเผยขั้นตอนการแพร่กระจายมัลแวร์ดังกล่าวนั่นคือ จะเริ่มต้นจากการที่แฮกเกอร์ทำการส่งข้อความหลอกลวงแบบ Phishing ผ่านทาง WhatsApp หรือ อีเมล ไปยังเหยื่อ โดยทำเสมือนว่าอีเมลนั้นถูกส่งมาจากผู้ส่งที่น่าเชื่อถือ อย่าง บริษัทคู่ค้า (ที่ถูกทางแฮกเกอร์ทำการแฮกนำเอาบัญชีติดต่อไปใช้งาน) ทำให้ทางเหยื่อตายใจ โดยทางแฮกเกอร์จะทำการส่งไฟล์บีบอัดในสกุล .Zip พร้อมทั้งข้อความในภาษาโปรตุเกส (เนื่องจากตัวอย่างนี้มาจากคลัสเตอร์ที่เกิดขึ้นในประเทศบราซิลที่มีการใช้งานภาษาโปรตุเกสเป็นหลัก) ว่า “baixa o zip no PC e abre” แปลว่า (ดาวน์โหลดไฟล์ Zip นี้แล้วนำไปเปิดบน PC) โดยเป็นการอาศัยความเชื่อใจของผู้รับ ทั้งยังเป็นการเล็ดลอด (Bypass) ระบบป้องกันบนโทรศัพท์มือถือได้อีกด้วย ซึ่งไฟล์แฝงมัลแวร์เหล่านี้มักมีชื่อว่า “RES-20250930_112057.zip,” “ORCAMENTO_114418.zip,” หรือ “ComprovanteSantander-75319981.682657420.zip.” เป็นต้น

ภายหลังจากที่เหยื่อได้คลายไฟล์ที่ดาวน์โหลดมาจากโทรศัพท์มือถือและย้ายมาไว้บนคอมพิวเตอร์แล้ว ก็จะปรากฏเป็นไฟล์ Internet Shortcut ที่มีสกุลไฟล์ .Lnk ที่ถ้าเหยื่อทำการรันไฟล์ดังกล่าวขึ้นมาก็จะนำไปสู่การติดตั้งมัลแวร์แบบหลายขั้นตอน (Multi-Stage Infection) โดยในขั้นแรกจะเริ่มจากการรันสคริปท์ PowerShell ที่มีการใส่กลไกตีรวนระบบป้องกัน (Obfuscation) ด้วยการฝัง (Embeded) คำสั่งที่มีการใช้งานฟังก์ชัน Invoke-Expression (IEX) ร่วมกับพารามิเตอร์ -enc ที่มีการเข้ารหัสในรูปแบบ Base64 มาทำการรันในโหมดซ่อนเร้น (Hidden Mode) หรือ (-w hidden) ซึ่งจะนำไปสู่การดาวน์โหลดและรัน Batch Script ในรูปแบบไฟล์ .Bat ที่ถูกดาวน์โหลดมาจากโดเมนของแฮกเกอร์ อย่าง sorvetenopoate[.]com และ expahnsiveuser[.]com

หลังจากที่รันไฟล์ดังกล่าวเรียบร้อยก็จะนำไปสู่การดาวน์โหลดไฟล์มัลแวร์ (Payload) ตัวที่ 2 ซึ่งเป็นมัลแวร์ประเภทนกต่อ (Loader หรือ Downloader) ในรูปแบบ PowerShell ซึ่งมัลแวร์ตัวนี้จะมีความพิเศษตรงนี้มีการใช้งาน Net.WebClient เพื่อดาวน์โหลดโมดูล (Module) ลงมาเสริมสร้างความสามารถใหม่ ๆ จากเซิร์ฟเวอร์ควบคุมมัลแวร์ (C2 หรือ Command and Control) หลากแหล่งได้ ซึ่งมัลแวร์ดังกล่าวหลังจากถูกรันขึ้นมาแล้ว ตัวสคริปท์จะทำการสร้างฐานเพื่อประกันการคงอยู่ในระบบ (Persistence) ด้วยการคัดลอกตัวเองลงไปไว้บนโฟลเดอร์ StartUp และรันสคริปท์ PowerShell ขึ้นมาเพื่อตั้งค่าให้ทำงานแบบลูป ทำให้ตัวมัลแวร์ทั้งจะเปิดตัวเองขึ้นมาทำงานใหม่ทุกครั้งที่มีการบูทเครื่องใหม่ แถมยังสามารถล่องหน (Stealth) ซ่อนตัวอยู่ภายในระบบได้อีกด้วยจากการที่ตัวมัลแวร์จะใช้การสื่อสารกับ โดยโค้ดในส่วนนี้ทั้งหมดจะถูกรันบนหน่วยความจำโดยตรง (In-Memory Execution) ซึ่งจะใช้งานพื้นที่บนฮาร์ดดิสก์น้อยที่สุด นำไปสู่ความยากที่จะถูกตรวจจับโดยเครื่องมือป้องกันต่าง ๆ

สิ่งที่ทำให้ทีมวิจัยฉงนสงสัยมากที่สุดสำหรับมัลแวร์ตัวนี้คือ การที่หลังจากที่มัลแวร์ดังกล่าวถูกฝังตัวลงบนเครื่องของเหยื่อแล้วกลับไม่พบว่ามีการขโมยข้อมูลจากเครื่องของเหยื่อ หรือมีการใช้การฝังแรนซัมแวร์ (Ransomware) หรือ มัลแวร์สำหรับการเรียกค่าไถ่ ลงเครื่องของเหยื่อแต่อย่างใด แต่กลับมีความสามารถในการขโมย Session การใช้งาน WhatsApp เวอร์ชันใช้งานผ่านเว็บไซต์ แล้วทำการกระจายข้อความพร้อมไฟล์ Zip ไปยังทุกรายชื่อบนสมุดรายชื่อผู้ติดต่อ (Contact) ทำให้นอกจากที่มัลแวร์จะกระจายตัวได้รวดเร็วแล้ว ตัวบัญชีที่ถูกขโมย Session ยังจะถูกทาง WhatsApp ระงับการใช้งานเนื่องมาจากนโยบายต่อต้านการสแปม (Anti-Spam Policy) อีกด้วย ทำให้ทางทีมวิจัยคาดว่ามัลแวร์ดังกล่าวมุ่งเน้นด้านการกระจายตัวอย่างรวดเร็วมากกว่าการอื่น

กระนั้น ทางทีมวิจัยก็มองว่า มัลแวร์ที่ใช้วิธีการแพร่กระจายตัวในรูปแบบที่คล้ายกันมักจะมีจุดประสงค์ในการขโมยรหัสผ่านเพื่อการก่ออาชญากรรมทางการเงิน ทำให้เกิดการคาดคะเนว่า อาจจะนำไปสู่การขโมยข้อมูลทางธุรกิจครั้งใหญ่ในอนาคตได้ ดังนั้น ทางทีมวิจัยจึงได้เตือนองค์กรธุรกิจต่าง ๆ จะต้องมีการระมัดระวังในเชิงนโยบายของการดาวน์โหลด และรันไฟล์บนเครื่องของบริษัท นอกจากนั้น จะต้องมีการฝึกอบรมพนักงานอย่างสม่ำเสมอเพื่อให้มีความเฉลียว และระมัดระวังภัยไซเบอร์อย่างเท่าทัน

นอกจากนั้นทางทีมวิจัยยังได้เผยข้อมูลของไฟล์ที่ทางองค์กรต่าง ๆ ควรเฝ้าระวังไว้ โดยรายชื่อไฟล์นั้น มีดังนี้

รายชื่อไฟล์เฝ้าระวัง พร้อมข้อมูล SHA 256

2150f38c436eabebd3a93b3ace1064315153c882ce763991b6d0fb798766e0db Trojan.LNK.SORVEPOTEL.YAFJB ComprovanteSantander-18736748.908476642.lnk 

bd62148637152396b757c8b106d5a62982bce9df12f0a6030dda9138e44e7328 Trojan.LNK.SORVEPOTEL.YAFJB  DOC-98083986_4B17B4B2.lnk 

2d83c4d620866f4ae647ed6a70113686bb7b80b1a7bbdcf544fd0ffec105c4a6 Trojan.LNK.SORVEPOTEL.YAFJB 

3b68826e4a1d95b1dd58b3bf1095750f31a72d8bddd1dbb35e6547ac0cf4769b Trojan.LNK.SORVEPOTEL.YAFJB 

1a0af26749f5bc21732c53fc12f3a148215c8221cbeffe920411656f1ffe7500 Trojan.LNK.SORVEPOTEL.YAFJB 

441a2ad553d166df3cd0ea02482f4b8370e8f9618753e1937a251a6318cb8eba Trojan.LNK.SORVEPOTEL.YAFJB ComprovanteSantander-63800793.391345519.lnk 

dcdde53c50aef9531c9f59f341a4e2d59796cdd94a973f2c2a464b2cafed41f5 Trojan.LNK.SORVEPOTEL.YAFJB 

c50b6ff360e5614d91f80a5e2d616a9d0d1a9984751bf251f065426a63dac0b5 Trojan.BAT.SORVEPOTEL.YAFJB HealthApp-0d97b7.ba