อาชญากรไซเบอร์ชาวรัสเซียทำการโจมตีแบบฟิชชิ่งบนพีซี Windows การโจมตีนี้อิงจากการใช้ประโยชน์จากเครื่องมือของ Microsoft ที่รวมอยู่ในระบบปฏิบัติการ
ระหว่างเดือนพฤศจิกายน 2023 ถึงกุมภาพันธ์ 2024 แฮกเกอร์ APT28 ของรัสเซียได้จัดการแคมเปญฟิชชิ่งอันกว้างใหญ่บนคอมพิวเตอร์ที่ทำงานอยู่หน้าต่าง- การโจมตีทางไซเบอร์ที่ค่อนข้างซับซ้อนมีจุดมุ่งหมายเพื่อขโมยข้อมูลส่วนบุคคลจากเครื่องที่ติดไวรัส นักวิจัยของ IBM เปิดเผยการดำเนินการนี้ในการสืบสวน
ประการแรก อาชญากรไซเบอร์หรือที่รู้จักกันในชื่อForest Blizzard หรือแฟนซีแบร์จะส่งอีเมลหลอกลวงไปยังเป้าหมายของพวกเขา แฮกเกอร์มีความเชี่ยวชาญด้านการจารกรรมและได้รับคำสั่งจากรัสเซีย โดยปลอมตัวเป็นองค์กรภาครัฐและองค์กรพัฒนาเอกชนจากหลายภูมิภาคทั่วโลก รวมถึงยุโรป
อ่านเพิ่มเติม:เหตุใดฝรั่งเศสจึงถูกโจมตีทางไซเบอร์อย่างท่วมท้น?
PDF ที่ติดอยู่และผู้จัดการที่ถูกเอารัดเอาเปรียบ
อีเมลเหล่านี้มาพร้อมกับไฟล์ PDF เป็นสิ่งที่แนบมาด้วย- ภายในเอกสาร แฮกเกอร์ได้ส่งลิงก์ URL ที่ส่งต่อไปยังเว็บไซต์ที่เป็นอันตราย ไซต์เหล่านี้ได้รับการออกแบบมาเพื่อใช้ประโยชน์จากเครื่องมือของ Microsoft ที่มีอยู่ในระบบปฏิบัติการ Windows ได้แก่ ตัวจัดการโปรโตคอล URI "search-ms:" และโปรโตคอลแอปพลิเคชัน "search:"
เมื่อผสานรวมเข้ากับ Windows แล้ว “search-ms:” จะเปิดตัวการค้นหาส่วนบุคคลบนอุปกรณ์ ช่วยให้ค้นหาไฟล์หรือข้อมูลได้อย่างง่ายดาย โปรโตคอล “ค้นหา:” เปิดใช้งานแอปพลิเคชันค้นหาเดสก์ท็อป Windows ทำให้ค้นหาเนื้อหาบนคอมพิวเตอร์ได้ง่ายขึ้น ไซต์หรือแอปพลิเคชันสามารถใช้เครื่องมือเหล่านี้เพื่อปรับปรุงประสบการณ์ผู้ใช้ แต่ในกรณีนี้เครื่องมือเหล่านี้ถูกอาชญากรไซเบอร์ใช้ประโยชน์
แฮกเกอร์ชาวรัสเซียใช้ผู้จัดการเพื่อปรับใช้มัลแวร์- หลังจากคลิกลิงก์ HTML ที่ติดอยู่ เหยื่อพบว่าตัวเองทำการค้นหาบนเซิร์ฟเวอร์ระยะไกลภายใต้การควบคุมของแฮกเกอร์ จากนั้นพวกเขาจะขอให้เป้าหมายดาวน์โหลดไฟล์ PDF อื่นลงในคอมพิวเตอร์ของตน:
“เมื่อเหยื่อเยี่ยมชมสถานที่ติดอาวุธ พวกเขาจะได้เห็นภาพเอกสารล่อที่พร่ามัว ปุ่มจะเชิญผู้ใช้ให้แสดงเอกสารโดยการคลิก
เป็นเอกสารนี้ที่ซ่อนมัลแวร์ เพื่อขจัดความไม่ไว้วางใจของเป้าหมาย บางครั้งแฮกเกอร์จึงใช้เอกสารราชการจริงออกโดยหน่วยงานของรัฐ เมื่อติดตั้งบนคอมพิวเตอร์แล้ว ไวรัสจะกรองข้อมูลทั้งหมดออกจากพีซีอย่างละเอียดถี่ถ้วน จากการสืบสวนของ IBM พบว่าอาชญากรไซเบอร์ใช้มัลแวร์ เช่น Masepie, Oceanmap และ Steelhook
นี่ไม่ใช่ครั้งแรกที่แฮกเกอร์ใช้เครื่องมือของ Microsoft เพื่อเตรียมการโจมตีทางไซเบอร์ อาชญากรไซเบอร์ได้จี้ "ms-appinstaller" ซึ่งเป็นโปรโตคอลที่อนุญาตให้ติดตั้ง อัปเดต หรือถอนการติดตั้งแอปพลิเคชันจากไฟล์การติดตั้งบนอุปกรณ์ Windows เพื่อแพร่กระจายแรนซัมแวร์ กลับมาที่กำแพง,Microsoft ต้องการปิดการใช้งานโปรโตคอล-
🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
แหล่งที่มา : ไอบีเอ็ม
