แฮกเกอร์จากเกาหลีเหนือนิยมใช้ QR Code เพื่อปล่อยมัลแวร์เพิ่มมากขึ้น

QR Code นั้นคงเป็นที่คุ้นเคยของผู้อ่านชาวไทยกันเป็นอย่างดี เนื่องจากเป็นรูปแบบโค้ดสำหรับการสแกนที่สามารถนำมาใช้งานในด้านต่าง ๆ ได้อย่างหลากหลาย โดยเฉพาะอย่างยิ่งการชำระเงิน ซึ่งโค้ดรูปแบบนี้ไม่เพียงแต่เป็นที่นิยมในไทยแต่ยังเป็นที่นิยมใช้งานกันทั่วโลก ไม่เว้นแม้แต่เหล่าแฮกเกอร์

จากรายงานโดยเว็บไซต์ Knowbe4 กล่าวถึงการตรวจพบกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนโดยรัฐจากประเทศเกาหลีเหนือ Kimsuki ซึ่งมีชื่อเสียงในเชิงลบจากปฏิบัติการการแฮกองค์กรต่าง ๆ แต่การปล่อยมัลแวร์มากมายหลายชนิดที่ผ่านมาในอดีต ได้นำเอากลยุทธ์ใหม่ในการแพร่กระจายมัลแวร์ผ่านทางการหลอกให้เหยื่อสแกน QR Code เข้ามาใช้งาน ซึ่งทางทีมวิจัยจาก ENKI บริษัทผู้พัฒนาเครื่องมือจัดการด้านความปลอดภัยไซเบอร์ซึ่งเป็นกลุ่มผู้ตรวจพบแคมเปญนี้ ได้เปิดเผยถึงข้อมูลสำคัญของแคมเปญว่า

การหลอกลวงนั้นจะเริ่มต้นจากแฮกเกอร์ทำการแอบอ้างชื่อเป็นบริการส่งของต่าง ๆ เพื่อหลอกให้เหยื่อเข้าสู่เว็บไซต์ปลอมผ่านทางคอมพิวเตอร์ โดยการหลอกลวงนั้นจะเป็นการใช้วิธีการที่เรียกว่าการทำวิศวกรรมทางสังคม (Social Engineering) ซึ่งหลังจากกดลิงก์เข้าไปแล้ว เว็บไซต์ก็จะขึ้นคำเตือนว่าตัวเว็บไซต์ไม่สามารถเปิดทางคอมพิวเตอร์ได้ ขอให้เหยื่อทำการสแกน QR Code เพื่อเข้าสู่เว็บไซต์ ซึ่งถ้าเหยื่อหลงเชื่อแล้วทำการสแกนก็จะนำไปสู่การดาวน์โหลดมัลแวร์จากเซิร์ฟเวอร์ของแฮกเกอร์ที่มีหมายเลข IP คือ 27.102.137[.]181 ลงมาติดตั้งบนเครื่องของเหยื่อในคราบของแอปพลิเคชันปลอมในท้ายที่สุด ซึ่งวิธีการนี้ทางทีมวิจัยได้กล่าวว่าเป็นวิธีการที่ชาญฉลาดมาก เพราะสามารถหลบเลี่ยงการถูกตรวจจับโดยเครื่องมือรักษาความปลอดภัยบนเครื่องได้

โดยแอปพลิเคชันปลอมนั้น ทางทีมวิจัยเผยว่ามีมากถึง 4 ตัว ซึ่งจะมี 2 ตัวที่ทำเป็นแอปพลิเคชันสำหรับบริการส่งของ ส่วนอีก 2 ตัวที่เหลือนั้นไม่ได้มีการเปิดเผยว่าเป็นแอปพลิเคชันรูปแบบใด ทั้งนี้ ทางทีมวิจัยยังได้ย้ำเตือนว่า ขอให้ผู้ใช้งานมีความระมัดระวังให้มาก ไม่เปิดลิงก์ที่ถูกส่งมาโดยบุคคลต้องสงสัย หรือไม่น่าไว้วางใจเป็นอันขาด