แฮกเกอร์ใช้ JackFix หลอกเหยื่อด้วยเว็บโป๊ให้ทำตามคำสั่งติดตั้งมัลแวร์ลงเครื่อง

อย่างที่หลายคนทราบดีว่า เว็บไซต์สำหรับผู้ใหญ่ (เว็บไซต์ 18+ หรืออาจเรียกง่าย ๆ ว่า เว็บโป๊) ส่วนมากมักเป็นเว็บเถื่อน หรือ ขบวนการสีเทา ที่มีการแฝงโฆษณาไม่พึงประสงค์มากมาย เช่น โฆษณาเว็บพนัน และบางเว็บอาจจะเป็นเว็บปลอมแท้ 100% ที่มาพร้อมของแถมอย่างมัลแวร์ เช่นบนข่าวนี้

จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบแคมเปญมัลแวร์ที่มีการนำเอาเว็บไซต์ 18+ ปลอม ผ่านทางโฆษณาปลอมเพื่อการปล่อยมัลแวร์ (Malvertising) โดยมักจะปลอมเป็นเว็บไซต์ดัง ๆ อย่างเช่น xHamster และ PornHub เข้ามาหลอกเหยื่อสายหื่นเพื่อแพร่กระจายมัลแวร์หลากสายพันธุ์ไม่ว่าจะเป็นมัลแวร์ประเภทใช้เครื่องของเหยื่อเป็นเครือข่ายโจมตีระบบที่ใหญ่กว่า หรือ Botnet อย่าง Amadey Botnet, มัลแวร์ประเภทขโมยข้อมูลบนเครื่องของเหยื่อ หรือ Infostealer อย่างเช่น Rhadamanthys, Vidar 2.0, RedLine และ มัลแวร์ประเภทเข้าควบคุมเครื่องของเหยื่อ (RAT หรือ Remote Access Trojan) หลายสายพันธุ์ ด้วยการใช้หน้าจออัปเดต Windows ปลอม พร้อมคำสั่งให้เหยื่อทำตามจนนำไปสู่การฝังมัลแวร์ลงเครื่อง ซึ่งวิธีดังกล่าวนั้นถูกเรียกว่า "JackFix" โดย Jack นั้นเป็นศัพท์สแลงแปลว่าการช่วยตัวเอง ส่วน Fix นั้น มาจาก ClickFix ซึ่งเป็นวิธีการหลอกลวงให้เหยื่อทำตามคำสั่งผ่านทางหน้าจอบอกข้อผิดพลาดปลอม จนนำไปสู่การติดมัลแวร์

ภาพจริง : https://cybersecuritynews.com/jackfix-attack-leverages-windows-updates/

ซึ่งการหลอกเหยื่อก็เรียกได้ว่าง่ายมาก หลังจากที่เหยื่อหลงเข้ามายังเว็บไซต์ดังกล่าวเป็นที่เรียบร้อยแล้ว ก็จะเกิดเหตุการณ์การรันสคริปท์บนเว็บไซต์ที่ส่งผลให้ตัวเว็บเบราว์เซอร์ให้โหมดเต็มจอเพื่อแสดงผลหน้าจอด้วยรูป Windows Update ปลอม หรือที่เรียกว่า "Screen Hijacking" พร้อมกับคำเตือนว่าให้ติดตั้งอัปเดตสำคัญ (Critical Windows Security Updates) ด้วยการทำตามคำสั่งบนหน้าจอ โดยในขั้นนี้เหยื่อจะไม่สามารถปิดหน้าจอดังกล่าวได้เนื่องจากมีการวางสคริปท์เพื่อปิดปุ่ม Escape และ F11 ไว้ เพื่อให้เหยื่อหลงเชื่อแล้วทำตามคำสั่งบนหน้าจอ อันจะนำไปสู่การรันโค้ด และติดตั้งมัลแวร์ในท้ายที่สุด

ภาพจริง : https://cybersecuritynews.com/jackfix-attack-leverages-windows-updates/

โดยในขั้นตอนการฝังตัวของมัลแวร์นั้นเรียกได้ว่าเหมือนกับวิธีการแบบ ClickFix แทบทุกประการ ซึ่งในส่วนนี้จะถูกแบ่งเป็น 2 ขั้นตอน นั่นคือ

• ขั้นแรก: หลังจากที่คำสั่งได้ถูกรันขึ้นมา ก็จะนำไปสู่การรัน mshta (Microsoft HTML Application Host) มาเป็นตัวนำพาไปสู่การใช้งานดึงมัลแวร์นกต่อ (Downloader) แบบ PowerShell ลงมาใช้
• ขั้นที่สอง: สคริปท์ตัวถัดมาจะทำการโจมตีผู้ใช้งาน (User) ด้วยการยิงคำสั่ง (Prompt) ผ่านทาง User Account Control (UAC) ทำให้เครื่องใช้งานไม่ได้ไปชั่วขณะ ในขณะเดียวกันก็ช่วยอัปเกรดสิทธิ์ในการเข้าถึงระบบของตัวมัลแวร์ถึงระดับผู้ดูแล (Admin หรือ Administrator) หลังจากนั้นมัลแวร์นกต่อก็จะทยอยดาวน์โหลดมัลแวร์ต่าง ๆ ที่กล่าวมาข้างต้นลงมาติดตั้งบนเครื่องด้วยการใช้สิทธิ์นี้