Back to Blog

แคมเปญ WhatsApp ส่งไฟล์ VBScript ปลอม หลอกติดตั้ง RMM Tool

แคมเปญโจมตีทาง WhatsApp ใช้ไฟล์ VBScript ปลอมเป็นเอกสาร เพื่อติดตั้ง RMM Tool โดยมุ่งเป้าไปที่ผู้ใช้ในหลายประเทศทั่วโลก

Sales
1 min read
แคมเปญ WhatsApp ส่งไฟล์ VBScript ปลอม หลอกติดตั้ง RMM Tool
ภาพแคมเปญ WhatsApp VBScript

นักวิจัยจาก卡巴斯基 (Kaspersky) ได้เปิดเผยถึงแคมเปญโจมตีทางไซเบอร์ที่กำลังดำเนินอยู่อย่างต่อเนื่อง โดยใช้ข้อความโดยตรงผ่าน WhatsApp เป็นช่องทางในการกระจายไฟล์ Visual Basic Script (VBScript) ที่เป็นอันตราย ซึ่งนำไปสู่การติดตั้งซอฟต์แวร์ Remote Monitoring and Management (RMM) ที่ถูกต้องตามกฎหมาย

แคมเปญนี้มุ่งเป้าไปที่ผู้ใช้ WhatsApp Desktop และ WhatsApp Web ในหลายประเทศทั่วโลก รวมถึงมาเลเซีย บราซิล อินเดีย เม็กซิโก สิงคโปร์ สหราชอาณาจักร สเปน ไต้หวัน และออสเตรเลีย


กลยุทธ์การโจมตีที่แยบยล


ผู้ไม่ประสงค์ดีใช้วิธีการส่งข้อความตรงไปยังเหยื่อผ่านแอปพลิเคชัน WhatsApp โดยแนบไฟล์ VBScript ที่ถูกปลอมแปลงเป็นเอกสารสำคัญหรือไฟล์ที่ดูน่าเชื่อถือ เมื่อผู้ใช้เปิดไฟล์ดังกล่าว สคริปต์จะทำงานและเริ่มกระบวนการดาวน์โหลดและติดตั้งเครื่องมือ RMM ซึ่งเป็นซอฟต์แวร์ที่ออกแบบมาเพื่อการจัดการและตรวจสอบระบบระยะไกล

แม้ว่าตัว RMM Tool จะเป็นซอฟต์แวร์ที่ถูกต้องตามกฎหมายและใช้โดยทีมไอทีทั่วโลก แต่การที่ผู้โจมตีสามารถติดตั้งมันลงในเครื่องของเหยื่อได้โดยไม่ได้รับอนุญาต ทำให้พวกเขาสามารถเข้าถึงและควบคุมระบบคอมพิวเตอร์ของเหยื่อจากระยะไกลได้อย่างสมบูรณ์


เป้าหมายและพื้นที่ที่ได้รับผลกระทบ


แคมเปญนี้ไม่ได้จำกัดอยู่เพียงแค่ภูมิภาคใดภูมิภาคหนึ่ง แต่มีการกระจายตัวในวงกว้าง โดยประเทศที่ถูกระบุว่าเป็นเป้าหมายหลักมีทั้งในทวีปเอเชีย อเมริกาใต้ และยุโรป ซึ่งแสดงให้เห็นถึงความพยายามของกลุ่มผู้โจมตีในการขยายขอบเขตการโจมตีไปยังผู้ใช้ WhatsApp ทั่วโลก

ผู้ใช้ WhatsApp Desktop และ WhatsApp Web มีความเสี่ยงเป็นพิเศษ เนื่องจากแพลตฟอร์มเหล่านี้มักถูกใช้ในการทำงานและสื่อสารกับเพื่อนร่วมงานหรือลูกค้า ทำให้เหยื่ออาจไม่ทันระวังตัวเมื่อได้รับไฟล์จากผู้ติดต่อที่ดูเหมือนคุ้นเคย


ความเสี่ยงของซอฟต์แวร์ RMM ที่ถูกใช้ในทางที่ผิด


การใช้เครื่องมือ RMM ที่ถูกต้องตามกฎหมายในการโจมตีเป็นกลยุทธ์ที่เรียกว่า Living off the Land ซึ่งผู้โจมตีใช้ประโยชน์จากเครื่องมือที่มีอยู่แล้วในระบบหรือเครื่องมือที่เชื่อถือได้เพื่อหลบเลี่ยงการตรวจจับจากระบบรักษาความปลอดภัย

เมื่อ RMM Tool ถูกติดตั้งสำเร็จ ผู้โจมตีสามารถดำเนินกิจกรรมที่เป็นอันตรายได้หลากหลาย เช่น การขโมยข้อมูล การสอดแนม การติดตั้งมัลแวร์เพิ่มเติม หรือการใช้เครื่องของเหยื่อเป็นฐานในการโจมตีผู้อื่น การตรวจจับการโจมตีรูปแบบนี้จึงทำได้ยากเนื่องจากซอฟต์แวร์ที่ใช้ไม่ใช่สิ่งผิดปกติ


แนวทางการป้องกันสำหรับผู้ใช้


ผู้ใช้ WhatsApp ควรเพิ่มความระมัดระวังเมื่อได้รับไฟล์หรือลิงก์จากผู้ส่งที่ไม่รู้จักหรือไม่น่าเชื่อถือ แม้ว่าข้อความนั้นจะมาจากเพื่อนหรือผู้ติดต่อ แต่หากเนื้อหาหรือไฟล์ที่ส่งมามีลักษณะผิดปกติ ควรสอบถามผู้ส่งโดยตรงก่อนเปิดไฟล์

การอัปเดตซอฟต์แวร์และระบบปฏิบัติการให้เป็นเวอร์ชันล่าสุดอยู่เสมอ รวมถึงการใช้โปรแกรมป้องกันมัลแวร์ที่มีความสามารถในการตรวจจับพฤติกรรมที่น่าสงสัย ก็เป็นมาตรการสำคัญในการลดความเสี่ยงจากการโจมตีลักษณะนี้


Reference


The Hacker News

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th

แชทผ่าน LINE
ดูสินค้าทั้งหมด