ไมโครซอฟท์ยกเลิกใบรับรองปลอมกว่า 200 ตัว หลังถูกนำเอาไปใช้แอป Microsoft Teams ปลอมแฝงมัลแวร์

หนึ่งในวิธีหลบเลี่ยงระบบตรวจจับ (Evasion) หรือหลอกลวงระบบตรวจจับ (Obfuscation) ที่เป็นที่นิยมในหมู่แฮกเกอร์นั่นคงจะหนีไม่พ้นการใช้งานใบรับรองปลอม (Certificate) กับแอปพลิเคชันปลอมที่ปลอมตัวเป็นแอปพลิเคชันยอดนิยม และไฟล์มัลแวร์ (Payload) ซึ่งนั่นเป็นสิ่งที่บริษัทผู้พัฒนาตัวเองไม่อาจจะทนได้

จากรายงานโดยเว็บไซต์ Infosecurity Magazine ได้กล่าวถึงการที่ทาง Microsoft Threat Intelligence ซึ่งเป็นหน่วยงานผู้รับผิดชอบด้านการจัดการภัยไซเบอร์ของทางไมโครซอฟท์ ได้ทำการยกเลิก (Revoke) ใบรับรองปลอมที่ถูกใช้งานในการฉ้อโกง (Fruadulent) ซึ่งถูกเซ็นต์\\โดยกลุ่มผู้ไม่ประสงค์ดี และนำเอาไปใช้งานกับซอฟต์แวร์ Microsoft Teams ของปลอม จำนวนมากกว่า 200 ใบรับรอง ซึ่งการกวาดล้างดังกล่าวนั้นมาจากการตรวจสอบพบแคมเปญการโจมตีไซเบอร์ที่ถูกเรียนว่าแคมเปญ Vanilla Tempest โดยทางไมโครซอฟท์ (ซึ่งแคมเปญดังกล่าว ทีมวิจัยด้านความปลอดภัยไซเบอร์ทีมอื่นได้ตั้งชื่อว่า Vice Spider และ Vice Society) ในช่วงเดือนกันยายน ที่ผ่านมา ซึ่งใบรับรองที่เป็นปัญหาดังกล่าวนั้น แฮกเกอร์จะใช้การเซ็นผ่านทางบริการที่น่าเชื่อถืออย่าง Trusted Signing, SSL[.]com, DigiCert และ GlobalSign เป็นต้น

โดยแคมเปญดังกล่าวนี้ ทางทีมวิจัยได้กล่าวว่ากลุ่มแฮกเกอร์ที่อยู่เบื้องหลังแคมเปญดังกล่าวนั้น มีประสงค์ในทางการเงินด้วยการใช้มัลแวร์เรียกค่าไถ่ หรือ Ransomware หลากตระกูล ไม่ว่าจะเป็น Rhysida, BlackCat, Quantum Locker, และ Zeppelin เพื่อไถเงินจากเหยื่อ ซึ่งการติดตั้งแรนซัมแวร์เหล่านี้จะกระทำผ่านการปล่อยแอปพลิเคชัน Microsoft Teams ปลอม ด้วยการสร้างเว็บไซต์ปลอมและโฆษณาด้วยวิธีการทำ SEO (Search Engine Optimization) Poisoning หรือ การวางยา SEO เพื่อดันลำดับการค้นหา หลอกล่อให้คนเข้าเว็บปลอม ทั้งยังมีการใช้โฆษณาเพื่อหลอกล่อเหยื่อให้ดาวน์โหลดมัลแวร์ หรือ Malvertising อีกด้วย โดยตัวแอปพลิเคชัน Microsoft Teams ปลอมนั้น ตัวไฟล์ติดตั้งจะมีการแอบแฝงมัลแวร์สำหรับการเปิดประตูหลังของระบบ หรือ Oyster Malware ซึ่งมัลแวร์ดังกล่าวนั้นจะเป็นช่องทางที่แฮกเกอร์ใช้ในการฝังแรนซัมแวร์ลงเครื่อง

ซึ่งสำหรับการหลอกลวงผ่านทางเว็บไซต์ปลอมด้วยวิธี SEO นั้น แฮกเกอร์จะเพ่งเล็งกลุ่มเหยื่อที่ใส่ชุดคำ (Keyword) ในการค้นหาว่า “Teams download” โดยหลังจากที่เหยื่อค้นหา เว็บไซต์ปลอมที่มีการตั้งชื่อโดเมนเพื่อจงใจให้เหยื่อเข้าใจผิดก็จะปรากฏขึ้นมา ซึ่งชื่อโดเมนนั้นมักจะตั้งชื่อให้เหยื่อเข้าใจว่าเป็นเว็บไซต์สำหรับการดาวน์โหลด MS Teams ของจริง เช่น teams-download[.]buzz, teams-install[.]run และ teams-download[.]top เป็นต้น

จากการตรวจสอบโดยละเอียดแล้วทางทีมวิจัยพบว่า ทางกลุ่มแฮกเกอร์ได้ทำการหลอมรวมตัวติดตั้ง MS Teams ปลอมกับมัลแวร์ Oyster ในช่วงเดือนมิถุนายน ที่ผ่านมา แต่แคมเปญการหลอกลวงได้เริ่มการปฏิบัติการตั้งแต่เดือนกันยายนที่ผ่านมานี้เอง ทั้งนี้ ทางไมโครซอฟท์ได้ประกาศว่า เครื่องมือรักษาความปลอดภัยไซเบอร์ของทางไมโครซอฟท์อย่าง Microsoft Defender Antivirus และ Microsoft Defender for Endpoint นั้นสามารถบล็อกซอฟต์แวร์ปลอมแฝงไม่ให้ถูกติดตั้งลงเครื่องจนนำไปสู่การฝังมัลแวร์อันตรายได้ ดังนั้น ขอให้ผู้ที่ใช้งานอยู่ทำการตั้งค่าให้ตัวเครื่องมือสามารถทำงานได้อย่างเต็มที่ เพื่อความปลอดภัยของตัวเครื่อง