June 22, 2024

NodeStealer 2.0 – เวอร์ชัน Python: ลอบขโมยบัญชีธุรกิจบนเฟซบุ๊ก

นักวิจัยจาก Unit 42 ของพาโล อัลโต้ เน็ตเวิร์กส์ เปิดเผยการโจมตีด้วยฟิชชิงครั้งใหม่ภายใต้ชื่อ NodeStealer 2.0 ที่มุ่งเป้าไปยังบัญชีธุรกิจบนเฟซบุ๊ก โดยล่อลวงเหยื่อด้วยการแจกเครื่องมือฟรีสำหรับธุรกิจ เช่น เทมเพลตสเปรดชีต จากนั้นจึงเข้ายึดบัญชีเป้าหมายในที่สุด กลยุทธ์ดังกล่าวชี้ให้เห็นถึงแนวโน้มที่น่ากังวลเนื่องจากคนร้ายได้เริ่มเบนเป้าไปที่บัญชีธุรกิจบนเฟซบุ๊ก มากขึ้นนับตั้งแต่เดือนกรกฎาคมปีที่แล้วเป็นต้นมา

เมื่อเดือนพฤษภาคม 2566 ทาง Meta ได้ออกรายงานฉบับหนึ่งเกี่ยวกับ NodeStealer ซึ่งเป็นมัลแวร์ที่มุ่งขโมยข้อมูลที่สร้างขึ้นเมื่อเดือนกรกฎาคม 2565 พร้อมแสดงรายละเอียดพฤติกรรมอันตรายที่ควรจับตาของ NodeStealer ซึ่งถูกตรวจพบในเดือนมกราคม 2566 ขณะที่เมื่อเดือนธันวาคม 2565 ได้เกิดการโจมตีด้วย NodeStealer เวอร์ชันใหม่ โดยเกี่ยวข้องกับมัลแวร์ที่ถูกดัดแปลงด้วย Python จำนวน 2 ตัว ที่มีความสามารถมากขึ้น เช่น การโจรกรรมคริปโทเคอร์เรนซี ความสามารถในการดาวน์โหลด และการยึดครองบัญชีธุรกิจบนเฟซบุ๊ก

การโจมตีด้วยฟิชชิงของ NodeStealer 2.0

ต้นตอการแพร่ระบาดหลักมาจากการโจมตีด้วยฟิชชิงที่เน้นล่อลวงด้วยการแจกสื่อวัสดุโฆษณาสำหรับธุรกิจ ทำให้คนร้ายสามารถขโมยคุกกี้ของเบราว์เซอร์เพื่อปล้นบัญชีบนแพลตฟอร์มโดยมีเป้าหมายที่บัญชีธุรกิจเป็นพิเศษ คนร้ายจะใช้เพจและบัญชีผู้ใช้เฟซบุ๊ก สลับกันไปมาเพื่อโพสต์ข้อมูล ล่อลวงเหยื่อให้ดาวน์โหลดลิงก์จากผู้ให้บริการพื้นที่จัดเก็บไฟล์บนคลาวด์ซึ่งเป็นที่รู้จักกันดี หลังจากคลิกลิงก์ดังกล่าว ระบบก็จะดาวน์โหลดไฟล์ ZIP ลงบนเครื่อง ซึ่งไฟล์ดังกล่าวแฝงไว้ด้วยมัลแวร์อันตรายที่ลอบขโมยข้อมูล

วิกกี เรย์ ผู้อำนวยการฝ่ายที่ปรึกษาทางไซเบอร์และหน่วยข่าวกรองด้านภัยคุกคามของ Unit 42 ประจำเอเชียแปซิฟิกและญี่ปุ่น พาโล อัลโต้ เน็ตเวิร์กส์ กล่าว “จากข้อมูลของ Napoleoncat เมื่อเดือนกรกฎาคม 2566 พบว่า ประเทศไทยมีผู้ใช้เฟซบุ๊ก ราว 60.3 ล้านราย หรือคิดเป็นอัตราส่วน 91.65% ซึ่งเฟซบุ๊กเป็นแพลตฟอร์มโซเชียลมีเดียที่มีผู้ใช้สูงสุดในไทย ดังนั้น จึงถือเป็นภัยที่สร้างความเสี่ยงแก่ประเทศไทยและคุกคามทั้งต่อบุคคลและองค์กรอย่างมาก นอกจากผลกระทบทางตรงที่เกิดขึ้นกับบัญชีธุรกิจบนเฟซบุ๊ก โดยมีเรื่องการเงินเป็นแรงจูงใจหลัก มัลแวร์ดังกล่าวยังลอบขโมยข้อมูลการเข้าสู่ระบบจากเบราว์เซอร์เพื่อใช้ในการโจมตีครั้งอื่นๆ ต่อไปได้อีกด้วย ดังนั้นเราจึงแนะนำให้องค์กรทุกแห่งเร่งทบทวนนโยบายการป้องกันและใช้สัญญาณบ่งชี้ปัญหา (IoC) ที่ให้ไว้ในรายงานฉบับนี้เพื่อรับมือกับภัยคุกคามดังกล่าว”

เจ้าของบัญชีธุรกิจบนเฟซบุ๊ก ควรใช้รหัสผ่านที่ปลอดภัย ซับซ้อน และคาดเดาได้ยาก และเปิดใช้การยืนยันตัวตนแบบหลายปัจจัย อีกทั้งยังควรให้ความรู้แก่พนักงานในองค์กรโดยเฉพาะเทคนิคการล่อลวงด้วยฟิชชิงตามแนวทางยุคใหม่ที่เน้นเป้าหมายชัดเจนที่แอบอ้างงานกิจกรรมในปัจจุบัน ความต้องการทางธุรกิจ หรือประเด็นที่น่าสนใจอื่นๆ