แฮกเกอร์ปล่อยเครื่องมือ ErrTraffic ClickFix Tool ขายในตลาดมืด

ปีที่ผ่านมา ผู้อ่านหลายคนอาจจะเริ่มคุ้นเคยกับวิธีการหลอกลวงให้เหยื่อทำตามคำสั่งบนหน้าจอเพื่อแก้ไขข้อผิดพลาด แต่แท้จริงเป็นการหลอกให้ติดตั้งมัลแวร์ หรือที่เรียกว่า ClickFix กันเป็นอย่างดีแล้ว มาถึงปีนี้เพียงแค่ต้นปีเท่านั้นก็ได้มีข่าวถึงการสร้างเครื่องมือที่ทำให้การทำ ClickFix นั้นทำได้สะดวกยิ่งขึ้นทันที

จากรายงานโดยเว็บไซต์ TechNadu ได้กล่าวถึงการตรวจพบเครื่องมือสำหรับการช่วยแฮกเกอร์ในการทำ ClickFix หลอกลวงเหยื่อ ในรูปแบบมัลแวร์ที่มีชื่อว่า ErrTraffic ClickFix Tool โดยกลุ่มแฮกเกอร์จากรัสเซีย "LenAI" ขายบนเว็บบอร์ดใต้ดินของเหล่าแฮกเกอร์รัสเซีย ที่ได้โฆษณาว่า เป็นเครื่องมือที่จะช่วยให้แฮกเกอร์สามารถทำการหลอกลวงด้วยการทำวิศวกรรมทางสังคม (Social Engineering) ผ่านทางการทำ ClickFix ได้ง่ายดายกว่าแต่ก่อนที่จำเป็นจะต้องแฮกเว็บมาแล้วหาวิธีเขียนโค้ดแทรกลงบนเว็บไซต์เอง โดยในปัจจุบันนั้นตัวเครื่องมือได้ถูกพัฒนามาถึงเวอร์ชัน 2 แล้ว ซึ่งทางทีมวิจัยจาก Hudson Rock บริษัทผู้เชี่ยวชาญด้านการตรวจสอบมัลแวร์ประเภทขโมยข้อมูลจากเครื่องของเหยื่อ หรือ Infostealer ได้ระบุว่า ตัวหน้าจอควบคุมมัลแวร์นั้นสามารถใช้งานได้ง่ายอย่างมาก จนแม้กระทั่งมือใหม่ก็สามารถใช้งานได้โดยไม่ต้องเรียนรู้เพิ่มเติมมากนัก เพิ่มความอันตรายให้กับเครื่องมือชนิดนี้มากขึ้นไปอีกเพราะแฮกเกอร์จะมือใหม่แค่ไหนก็สามารถเข้าถึงได้

ภาพจาก : https://www.technadu.com/errtraffic-clickfix-tool-industrializes-social-engineering-malware-delivers-fake-website-glitches/617298/

โดยตัวมัลแวร์ ErrTraffic ClickFix Tool นั้นจะไม่เหมือนกับมัลแวร์อื่น ๆ ที่คุ้นเคยกัน เนื่องจากตัวมัลแวร์นั้นจะทำหน้าที่เป็นตัวเปลี่ยนเส้นทางการจราจรออนไลน์ หรือ Traffic Distribution System (TDS) ซึ่งการทำงานนั้น หลังจากที่แฮกเกอร์สามารถเข้าถึงตัวเว็บไซต์เป้าหมายได้ในระดับหนึ่งแล้ว ตัวเครื่องมือจะทำการขโมยรหัสออกมาจากเครื่องมือจัดการคอนเทนต์บนเว็บไซต์ (Content Management System หรือ CMS) ซึ่งตัวมัลแวร์จะใช้งานรหัสนี้ในการเข้ายิงสคริปท์ของมัลแวร์ลงบนเว็บไซต์

ซึ่งเว็บไซต์ที่โดนสคริปท์ยิงลงไปนั้น เมื่อมีเหยื่อหลงเข้ามาเว็บไซต์ก็จะพบหน้าจอเด้ง (Pop Up) แจ้งเตือนให้เหยื่อแก้ไขข้อผิดพลาดบางอย่าง ซึ่งแหล่งข่าวได้ยกตัวอย่างเป็นคำสั่งให้เหยื่อทำตามเพื่อดาวน์โหลดอัปเดตของเว็บเบราว์เซอร์ Google Chrome พร้อมคำสั่งให้เหยื่อทำการเปิด PowerShell (สำหรับ Windows) หรือ Run (สำหรับ macOS) ขึ้นมา ซึ่งเครื่องมือจะปรับมัลแวร์สำหรับใช้ในการโจมตีให้เป็นไปตามระบบปฏิบัติการ หรือ OS (Operating System) ดังนี้

• Windows จะเป็นการส่งมัลแวร์แบบ Infostealers หลากชนิด ในรูปแบบไฟล์สำหรับการรันที่คลายตัวเองได้ (Self-Extracting Executables)
• Android จะเป็นการปล่อยมัลแวร์สำหรับขโมยเงินในบัญชีธนาคาร (Banking Trojan) ในรูปแบบอัปเดตสำหรับเว็บเบราว์เซอร์ (ปลอม)
• macOS มักจะเป็นมัลแวร์แบบ Atomic Stealer (AMOS)