Hir.harvard.edu ClickFix มัลแวร์
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ระบุถึงแคมเปญที่ผู้โจมตีปลอมตัวเป็นเว็บไซต์อย่างเป็นทางการของมหาวิทยาลัยฮาร์วาร์ด (hir.harvard.edu) เพื่อเผยแพร่ซอฟต์แวร์มัลแวร์ โดยใช้ประโยชน์จากการเข้าถึงโดเมนที่มีความน่าเชื่อถือและมีชื่อเสียงสูง ผู้โจมตีได้เผยแพร่เนื้อหาที่เป็นอันตรายซึ่งเลียนแบบหน้าเว็บที่ถูกต้องได้อย่างแนบเนียน กลยุทธ์นี้เพิ่มโอกาสอย่างมากที่ผู้เข้าชมที่ไม่ระมัดระวังจะเข้าไปมีส่วนร่วมกับเนื้อหาดังกล่าว ทำให้ความสงสัยต่อภัยคุกคามที่อาจเกิดขึ้นลดลง
สารบัญ
ช่องโหว่ของ ClickFix: การควบคุมพฤติกรรมผู้ใช้
การโจมตีนี้อาศัยเทคนิคที่เรียกว่า ClickFix ซึ่งเป็นวิธีการส่งมัลแวร์หลอกลวงที่หยั่งรากมาจากวิศวกรรมสังคม แทนที่จะใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์โดยตรง วิธีการนี้จะหลอกล่อให้ผู้ใช้ดำเนินการคำสั่งที่เป็นอันตรายด้วยตนเอง โดยปกติแล้วเหยื่อจะพบกับการแจ้งเตือนระบบปลอม ขั้นตอนการตรวจสอบ CAPTCHA หรือคำแนะนำ "แก้ไข" เร่งด่วนที่ดูน่าเชื่อถือและจำเป็น
ในความเป็นจริง ข้อความแจ้งเตือนเหล่านี้ถูกออกแบบมาอย่างพิถีพิถันเพื่อชักจูงให้ผู้ใช้เรียกใช้คำสั่งที่ก่อให้เกิดการติดมัลแวร์บนอุปกรณ์ของพวกเขาโดยไม่ให้ผู้ใช้รู้ตัว
ขั้นตอนการติดเชื้อทีละขั้น
ในเว็บไซต์ที่ถูกโจมตี ผู้เข้าชมจะได้รับคำแนะนำให้กรอกแบบฟอร์มที่ดูเหมือนจะเป็นการยืนยัน CAPTCHA คำแนะนำเหล่านั้นจะนำผู้ใช้ผ่านลำดับการป้อนข้อมูลบนแป้นพิมพ์ ซึ่งออกแบบมาเพื่อเปิดอินเทอร์เฟซบรรทัดคำสั่งและเรียกใช้โค้ดที่เป็นอันตรายที่ซ่อนอยู่
- ผู้ใช้จะได้รับคำแนะนำให้กดปุ่ม Win + X จากนั้นเลือก PowerShell หรือ Terminal ตามด้วย Ctrl + V และสุดท้ายกด Enter
- คำสั่งที่เป็นอันตรายนั้นถูกคัดลอกไปยังคลิปบอร์ดโดยเว็บไซต์เรียบร้อยแล้ว ทำให้มั่นใจได้ว่าคำสั่งนั้นจะถูกวางโดยที่ผู้ใช้ไม่เห็นเนื้อหา
- การเรียกใช้คำสั่งดังกล่าวจะทำให้มัลแวร์ถูกดาวน์โหลดและเรียกใช้งาน ซึ่งจะทำให้ระบบถูกบุกรุกในที่สุด
วิธีการนี้จะเปลี่ยนความรับผิดชอบในการดำเนินการไปอยู่ที่ผู้ใช้ ทำให้ระบบป้องกันความปลอดภัยแบบดั้งเดิมมีประสิทธิภาพลดลง
ผลที่ตามมาจากการโจมตีโดยใช้ ClickFix
แคมเปญ ClickFix มักถูกใช้เพื่อติดตั้งมัลแวร์หลากหลายประเภท เมื่อถูกโจมตีแล้ว ภัยคุกคามเหล่านี้สามารถส่งผลกระทบอย่างรุนแรงต่อทั้งบุคคลและองค์กร โดยทำให้เกิดผลดังต่อไปนี้:
- การขโมยข้อมูลสำคัญ เช่น ข้อมูลการเข้าสู่ระบบและข้อมูลทางการเงิน
- การเข้าถึงระยะไกลและการควบคุมอุปกรณ์โดยไม่ได้รับอนุญาต
ผลลัพธ์ดังกล่าวเน้นให้เห็นถึงความหลากหลายและอันตรายของเทคนิคนี้ในการปฏิบัติการอาชญากรรมไซเบอร์สมัยใหม่
ช่องทางการแพร่กระจายมัลแวร์เพิ่มเติม
นอกเหนือจาก ClickFix แล้ว อาชญากรไซเบอร์ยังใช้วิธีการอื่นๆ อีกมากมายในการแพร่กระจายมัลแวร์และโจมตีระบบ วิธีการแพร่กระจายที่พบบ่อย ได้แก่ การหลอกลวงด้านการสนับสนุนทางเทคนิค อีเมลฟิชชิ่งที่มีไฟล์แนบหรือลิงก์ที่เป็นอันตราย ซอฟต์แวร์ละเมิดลิขสิทธิ์และเครื่องมือแคร็ก โฆษณาหลอกลวง เว็บไซต์ที่ไม่เป็นทางการ และแพลตฟอร์มดาวน์โหลดของบุคคลที่สาม
การตระหนักรู้ด้านการป้องกัน: การรับรู้ถึงภัยคุกคาม
การโจมตีด้วย ClickFix เน้นย้ำถึงความสำคัญของการตระหนักรู้ของผู้ใช้ในด้านความปลอดภัยทางไซเบอร์ คำสั่งใดๆ ที่ส่งเสริมให้ผู้ใช้ดำเนินการคำสั่งด้วยตนเอง โดยเฉพาะอย่างยิ่งผ่านเครื่องมือของระบบ เช่น PowerShell หรือ Terminal ควรได้รับการพิจารณาว่าเป็นสิ่งที่น่าสงสัยอย่างยิ่ง เว็บไซต์และบริการที่ถูกต้องตามกฎหมายจะไม่ขอให้ผู้ใช้ดำเนินการดังกล่าวเพื่อการตรวจสอบหรือแก้ไขปัญหา
การรู้จักและเข้าใจกลยุทธ์หลอกลวงเหล่านี้ และการปฏิเสธที่จะปฏิบัติตามคำแนะนำดังกล่าว ยังคงเป็นกลไกสำคัญในการป้องกันการติดเชื้อและการรั่วไหลของข้อมูล
