ผู้ใช้งานในอินเดียตกเป็นเป้าแคมเปญ Phishing แพร่กระจายมัลแวร์ Blackmoon

นักวิจัยด้านความปลอดภัยไซเบอร์ตรวจพบแคมเปญ Phishing ครั้งใหญ่ในประเทศอินเดีย โดยแฮกเกอร์ส่งอีเมลปลอมตัวเป็น กรมสรรพากรของอินเดีย (Income Tax Department of India) หลอกให้เหยื่อดาวน์โหลดไฟล์ .zip ที่อ้างว่าเป็นเอกสารตรวจสอบภาษี เพื่อนำไปสู่การติดตั้งมัลแวร์จารกรรมข้อมูลระยะยาว

เทคนิคการโจมตี:

• ใช้มัลแวร์ 2 ชั้น: ติดตั้ง Blackmoon (Banking Trojan) เพื่อขโมยข้อมูลทางการเงิน และตามด้วย SyncFuture TSM ซึ่งเป็นเครื่องมือจัดการระบบที่ถูกกฎหมาย (RMM) มาดัดแปลงเพื่อใช้ควบคุมเครื่องและจารกรรมข้อมูลแบบแนบเนียนไปกับระบบ
• หลบเลี่ยง Antivirus: หากตรวจเจอ Avast ในเครื่อง มัลแวร์จะใช้วิธี “จำลองการขยับเมาส์” เข้าไปกดตั้งค่าใน Antivirus เพื่ออนุญาตให้มัลแวร์ทำงานได้เองโดยไม่ต้องปิดระบบป้องกัน
• ซ่อนตัวในระบบ: ปลอมแปลง Process ตัวเองให้ชื่อเหมือน explorer.exe และยกระดับสิทธิ์ตัวเองเป็น Admin เพื่อแอบทำงานอยู่เบื้องหลังได้ตลอดเวลา

เป้าหมาย: มุ่งเน้นการ จารกรรมข้อมูล (Cyber Espionage) และเฝ้าติดตามพฤติกรรมผู้ใช้และขโมยข้อมูลสำคัญอย่างต่อเนื่อง

NT cyfence ขอแนะนำผู้ใช้งานสำหรับการป้องกันการโจมตีประเภทฟิชชิ่งและมัลแวร์ ควรระวังอย่าคลิกลิงก์หรือดาวน์โหลดไฟล์จากอีเมลที่อ้างว่าเป็น กรมสรรพากร หรือหน่วยงานรัฐ ซึ่งหน่วยงานจริงมัก ไม่ส่งไฟล์ ZIP หรือ EXE ทางอีเมล และไม่ควรเปิดไฟล์แนบที่ไม่คุ้นเคย เช่น ไฟล์ .zip, .exe, .scr ซึ่งมีความเสี่ยงสูง ควรหมั่นอัปเดตระบบสม่ำเสมอและใช้โปรแกรม Antivirus หรือ EDR

ที่มา thehackernews.com