พบแคมเปญการโจมตีทางไซเบอร์ครั้งใหม่ที่พุ่งเป้าไปที่พนักงานบริษัทโดยเฉพาะ แฮกเกอร์ได้สร้างหน้าเว็บไซต์ดาวน์โหลดซอฟต์แวร์ Enterprise VPN ปลอมขึ้นมา เพื่อหลอกให้พนักงานดาวน์โหลดติดตั้งมัลแวร์ ซึ่งท้ายที่สุดจะถูกใช้เพื่อขโมยข้อมูลการเข้าสู่ระบบของบริษัท เทรนด์การปลอมหน้าเว็บดาวน์โหลดซอฟต์แวร์ทำงาน (Software Mimicry) กำลังเป็นที่นิยมมากในกลุ่มอาชญากรไซเบอร์ เพราะสามารถเจาะเข้าเครือข่ายบริษัทได้โดยตรงผ่านบัญชีของพนักงาน โดยแฮกเกอร์จะใช้วิธีที่แนบเนียนเพื่อหลอกล่อให้พนักงานหลงเชื่อ ดังนี้

• สร้างหน้าเว็บปลอม (Typosquatting): จดโดเมนเนมที่พิมพ์ผิดเพียงเล็กน้อย หรือใช้ชื่อที่คล้ายกับผู้ให้บริการ VPN ยอดนิยม เช่น AnyConnect (Cisco), GlobalProtect (Palo Alto Networks) หรือ Fortinet
• ใช้การโฆษณา (SEO Poisoning): ทำให้หน้าเว็บปลอมเหล่านี้ติดอันดับต้นๆ บน Google Search เมื่อพนักงานค้นหาคำว่า “download [ชื่อ VPN] mobile”
• ไฟล์ติดตั้งแฝงมัลแวร์: เมื่อเหยื่อกดดาวน์โหลด จะได้ไฟล์ติดตั้ง (.exe หรือ .dmg) ที่ทำงานได้จริงในเบื้องหน้า แต่เบื้องหลังจะทำการติดตั้งมัลแวร์อย่าง Vidar หรือ SpyNote เพื่อดูดข้อมูลรหัสผ่าน คุกกี้เบราว์เซอร์ และข้อมูลการล็อกอินเข้าสู่ระบบภายในของบริษัท

1. ตรวจสอบ URL เสมอ: ก่อนดาวน์โหลดซอฟต์แวร์ใดๆ ให้เช็กว่ามาจากโดเมนหลักของผู้ผลิตจริงหรือไม่ (เช่น cisco.com ไม่ใช่ cisco-download.net)
2. ดาวน์โหลดจากช่องทางทางการเท่านั้น: พนักงานควรดาวน์โหลดซอฟต์แวร์ผ่านระบบ Portal ของบริษัท หรือจาก IT Support โดยตรง
3. เปิดใช้งาน MFA (Multi-Factor Authentication): แม้แฮกเกอร์จะได้รหัสผ่านไป แต่หากมีการยืนยันตัวตนสองชั้น ก็จะช่วยสกัดกั้นการเข้าถึงระบบได้ในระดับหนึ่ง
4. ติดตั้ง Endpoint Protection: ใช้โปรแกรม Antivirus ที่อัปเดตสม่ำเสมอเพื่อตรวจจับมัลแวร์ประเภท Stealer

ที่มา bleepingcomputer