พบแฮกเกอร์ใช้เทคนิค SEO บนหน้า Github หลอกให้เหยื่อที่ค้นหา เข้ามาโหลดของปลอมปนมัลแวร์

เมื่อพูดถึงบริการคลังดิจิทัล (Repo หรือ Repository) ชื่อดัง และมีความน่าเชื่อถือสูง ก็คงจะหนีไม่พ้น GitHub ซึ่งเป็นแหล่งยอดนิยมในการหาเครื่องมือ หรือ โครงการ (Project) ต่าง ๆ ในหมู่นักพัฒนาซอฟต์แวร์ แต่ด้วยความน่าเชื่อถือนี้ ก็ได้กลายมาเป็นช่องโหว่ให้แฮกเกอร์นำเอามาใช้ในการหลอกลวงเพื่อแพร่กระจายมัลแวร์ในหลาย ๆ ครั้ง และครั้งนี้ก็เช่นเดียวกัน

จากรายงานโดยเว็บไซต์ Digwatch ได้กล่าวถึงการตรวจพบแคมเปญการแพร่กระจายมัลแวร์แคมเปญใหม่ด้วยฝีมือของทีมวิจัยจาก Trend Micro บริษัทผู้พัฒนาโซลูชันการรักษาความปลอดภัยไซเบอร์ชื่อดัง โดยในแคมเปญนี้ทางทีมวิจัยได้พบว่าแฮกเกอร์ได้ทำการสร้าง Repo บนบริการของ GitHub มากกว่า 100 ตัว โดยแอบอ้างว่าเป็นแหล่งฝากซอฟต์แวร์ชื่อดังแจกฟรี รวมถึงไปถึงวิดีโอเกมเถื่อนแบบแคร็กแล้ว (Cracked) และโปรแกรมโกงเกมต่าง ๆ แต่แท้จริงนั้นภายในเป็นมัลแวร์ขโมยข้อมูล แล้วทำการโฆษณาด้วยวิธีการ SEO (Search Engine Optimization) เพื่อดันให้ตัวหน้า Repo ของปลอมนั้นติดลำดับการค้นหาลำดับต้น ๆ ล่อให้เหยื่อมาติดกับดาวน์โหลดซอฟต์แวร์ปลอมไปจาก Repo แทนที่จะเป็นของแท้ ซึ่งถ้าติดตั้งลงเครื่องก็จะนำไปสู่การติดตั้งมัลแวร์ในทันที

โดยมัลแวร์ตัวดังกล่าวนั้น มีชื่อว่า BoryptGrab เป็นมัลแวร์ประเภทขโมยข้อมูลจากเครื่องของเหยื่อ หรือ Infostealer ที่มุ่งเน้นการโจมตีระบบปฏิบัติการ Windows โดยข้อมูลที่มัลแวร์ตัวนี้เพ่งเล็งในการขโมยนั้นจะเป็นข้อมูลอ่อนไหว (Sensitive Information) ทั้งนั้น โดยจะครอบคลุมตั้งแต่ รหัสผ่านต่าง ๆ, ไฟล์ Cookies, และข้อมูลกระเป๋าเงินคริปโตเคอร์เรนซี (Wallet) รวมถึงสามารถขโมยข้อมูลจากเว็บเบราว์เซอร์ยอดนิยม เช่น  Chrome, Edge, Firefox, Opera, Brave และ Vivaldi ได้ นอกจากนั้นยังสามารถฝ่าเครื่องมือป้องกันมัลแวร์ได้มากมายหลายตัวอีกด้วย

ไม่เพียงเท่านั้น ตัวมัลแวร์ยังสามารถฝังเครื่องมือควบคุมเครื่องจากระยะไกล เพื่อให้แฮกเกอร์ที่อยู่เบื้องหลังมัลแวร์ตัวนี้สามารถเข้าสู่ระบบจากระยะไกล (Remote Access) ได้ อันเป็นการรับประกันว่า มัลแวร์ และแฮกเกอร์จะยังคงอยู่บนระบบ (Persistent) เรียกได้ว่าอันตรายมาก เพราะแฮกเกอร์จะสามารถแอบแฝงตัวอยู่ภายในระบบ และลักลอบขโมยข้อมูลโดยที่ไม่มีใครรู้ตัวหรือจับได้เลยทีเดียว