พบโดเมน Windows Activation สำหรับตัวแคร็กปลอม ใช้แล้วติดมัลแวร์ได้

ซอฟต์แวร์เถื่อนกับมัลแวร์มักจะเป็นของคู่กัน ไม่เว้นแม้แต่ Windows ที่ถึงตัวแคร็ก หรือ ตัวช่วยในการเปิดใช้งานระบบ (Activation) หลายตัวอาจจะใช้งานได้ไม่มีปัญหา แต่ส่วนใหญ่ก็มาพร้อมกับมัลแวร์ หรือมีช่องโหว่ที่เปิดให้แฮกเกอร์ปล่อยมัลแวร์ใส่ได้ อย่างเช่นในกรณีนี้

รายงานจากเว็บไซต์ Bleeping Computer ได้กล่าวถึงการตรวจพบโดเมนสำหรับการใช้งานร่วมกับสคริปท์สำหรับเปิดใช้งานระบบ Windows หรือ Microsoft Activation Scripts (MAS) ซึ่งเป็นเครื่องมือที่ใช้งานในการแคร็ก Windows เถื่อนให้สามารถใช้งานได้โดยที่ไม่ต้องซื้อรหัสเปิดใช้งานจริง โดยโดเมนดังกล่าวนั้นจะมุ่งเน้นในการเข้าเล่นงานผู้ที่พิมพ์ชื่อโดเมนผิด ซึ่งการตรวจพบดังกล่าวนั้นถูกรายงานในเว็บบอร์ดออนไลน์ชื่อดัง Reddit ว่า มีผู้ใช้งานบางรายได้รับการแจ้งเตือนว่าเครื่องติดมัลแวร์ "Cosmali Loader" ซึ่งเป็นมัลแวร์ประเภทนกต่อเพื่อการปล่อยมัลแวร์ตัวอื่น ๆ หรือ Loader จากการใช้งาน MAS แล้วพิมพ์ชื่อโดเมนผิดจาก 'get.activated.win' เป็น 'get.activate[.]win' ระหว่างการเปิดใช้งาน Windows ด้วยการใช้คำสั่งทาง PowerShell ทำให้นำไปสู่การดาวน์โหลดมัลแวร์ดังกล่าวมาติดตั้งบนเครื่อง

ภาพจาก : https://www.bleepingcomputer.com/news/security/fake-mas-windows-activation-domain-used-to-spread-powershell-malware/

จะเห็นได้ว่าโดเมนดังกล่าวนั้นได้เน้นไปในส่วน "การพิมพ์ผิด" ที่เกิดขึ้นบ่อยอย่าง การพิมพ์ D ตกไปแค่ตัวเดียว ซึ่งเป็นความผิดพลาดสามัญในกลุ่มคนใช้ภาษาอังกฤษ ทำให้ผู้ใช้งาน MAS หลายคนต้องตกเป็นเหยื่อ นอกจากนี้ยังมีรายงานว่าเครื่องมือสำหรับควบคุมมัลแวร์ (Malware Panel) นั้นมีการรักษาความปลอดภัยในการเข้าถึงที่แย่มาก ทำให้ทุกคนที่เข้าถึงเครื่องมือดังกล่าวก็จะเข้าถึงคอมพิวเตอร์ของเหยื่อได้ทุกคน แต่แหล่งข่าวก็ได้กล่าวว่า ถ้าผู้ใช้งานทำพลาดขอให้ล้างเครื่องแล้วติดตั้ง Windows ใหม่ และ อย่าพิมพ์ผิดอีก ก็จะรอดพ้นจากมัลแวร์ดังกล่าว

ทางทีมวิจัยจาก RussianPanda ได้ระบุว่า ตัวมัลแวร์ดังกล่าวนั้นจะนำไปสู่การติดตั้งมัลแวร์สำหรับการลักลอบขุดเหรียญคริปโตเคอร์เรนซีบนเครื่องของเหยื่อ หรือ Cryptominer ที่มีชื่อว่า XWorm นอกจากนั้นทางทีมงานยังตั้งข้อสงสัยว่า ทำไมมัลแวร์ถึงแจ้งเตือนให้เหยื่อระวังตัวว่าติดมัลแวร์แล้ว แต่ก็มีการคาดการณ์ว่า อาจจะมีแฮกเกอร์สายขาว (White Hat) หรือนักวิจัยที่เข้าถึงแผงควบคุมมัลแวร์เข้าไปเพิ่มเติมไว้เพื่อเตือนให้เหยื่อจัดการกับเครื่องของตนก่อนที่ทุกอย่างจะสายเกินไป

สำหรับในส่วนของสคริปท์ MAS นั้น จะเป็นการใช้คำสั่งแบบสคริปท์หลากหลายตัวเพื่อปลดล็อกการใช้งาน Windows เช่น HWID ในการปลดล็อก Windows และ Microsoft Office, เครื่องมือจำลองการทำงานของเซิร์ฟเวอร์ KMS (Key Management Server) และเครื่องมือหลบเลี่ยงการถูกตรวจว่าใช้งานละเมิดลิขสิทธิ์ เช่น Ohook และ TSforge ซึ่งสคริปท์ดังกล่าวนั้นถูกปล่อยให้ใช้งานผ่านทางคอมมูนิตี้นักพัฒนาซอฟต์แวร์ GitHub โดยเจ้าของหรือผู้เกี่ยวข้องกับโครงการนี้ได้ทำการแจ้งเตือนผู้ใช้งานเป็นที่เรียบร้อยแล้วว่าให้ระวังแคมเปญการแพร่กระจายมัลแวร์ดังกล่าวด้วยการตรวจสอบสิ่งที่พิมพ์ไปแล้วทุกครั้งก่อนกด Enter