พีซี Windows หลายล้านเครื่องติดมัลแวร์

ภัยคุกคามทางดิจิทัลรูปแบบใหม่ได้สร้างความเสี่ยงต่อความปลอดภัยของอุปกรณ์ Windows หลายล้านเครื่องผ่านทางแคมเปญแอดแวร์ ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ของ Microsoft เปิดเผยว่า ผู้โจมตีสามารถเผยแพร่ซอฟต์แวร์ที่เป็นอันตรายซึ่งปลอมตัวเป็นโฆษณาหลอกลวงได้ ผลกระทบดังกล่าวส่งผลเสียต่อทั้งผู้ใช้รายบุคคลและธุรกิจ

การโจมตีแพร่กระจายโดยหลักผ่านไซต์สตรีมมิ่งที่ผิดกฎหมาย ซึ่งผู้ก่ออาชญากรรมทางไซเบอร์ได้แทรกลิงก์ที่นำไปสู่ที่เก็บข้อมูลที่เป็นอันตรายบน GitHub แพลตฟอร์มเหล่านี้ทำหน้าที่เป็นจุดส่งมอบเริ่มต้นสำหรับมัลแวร์ ช่วยให้ผู้โจมตีสามารถรับข้อมูลระบบและปรับใช้เพย์โหลดใหม่ๆ ที่จะเพิ่มความเสี่ยงต่อความปลอดภัยของอุปกรณ์ที่ติดไวรัสมากขึ้น

การติดไวรัสแอดแวร์ทำงานอย่างไรบน Windows

การโจมตีถูกดำเนินการในหลายขั้นตอน โดยแต่ละขั้นตอนได้รับการออกแบบมาเพื่อควบคุมระบบเป้าหมายได้มากขึ้น ประการแรก ผู้ใช้ที่เข้าถึงเว็บไซต์บางแห่งที่มีโฆษณาที่เป็นอันตรายจะถูกส่งต่อไปยังเซิร์ฟเวอร์ที่อยู่ภายใต้การควบคุมของผู้โจมตีโดยแอบแฝง

จากเซิร์ฟเวอร์เหล่านี้ ไฟล์เริ่มต้นจะถูกดาวน์โหลดไฟล์เพื่อรวบรวมข้อมูลเกี่ยวกับคอมพิวเตอร์ เช่น ระบบปฏิบัติการ หน่วยความจำที่พร้อมใช้งาน และการตั้งค่าของผู้ใช้ ข้อมูลนี้จะถูกส่งไปยังผู้โจมตีเพื่อประเมินว่ามัลแวร์ประเภทใดเหมาะสมที่สุดที่จะนำไปใช้ในขั้นตอนถัดไป ขอแนะนำให้ผู้ใช้ปฏิบัติตามขั้นตอนบางอย่าง วิธีการบล็อกเครือข่าย Wi-Fi ที่ไม่ต้องการใน Windows เพื่อปรับปรุงความปลอดภัยของคุณ

ในขั้นตอนถัดไป จะมีการดำเนินการชุดไฟล์ที่เป็นอันตรายชุดใหม่ ซึ่งอาจรวมถึงซอฟต์แวร์ที่ออกแบบมาเพื่อขโมยข้อมูลประจำตัวธนาคารและข้อมูลส่วนบุคคล โปรแกรมเช่น Lumma และ Doenerium ได้รับการระบุในการโจมตีครั้งนี้ ซึ่งทั้งคู่มีความเชี่ยวชาญในการดึงข้อมูลที่ละเอียดอ่อนที่เกี่ยวข้องกับบัญชีผู้ใช้ รายละเอียดการธนาคาร และแม้แต่ข้อมูลสกุลเงินดิจิทัล

บทความที่เกี่ยวข้อง:

Auto-Color: มัลแวร์ที่คุกคามระบบ Linux

ความคงอยู่และวิธีการโจมตีขั้นสูง

กลยุทธ์ที่น่ากังวลที่สุดประการหนึ่งของการโจมตีนี้คือความสามารถในการคงอยู่ในระบบในระยะยาว เมื่ออุปกรณ์ถูกบุกรุก มัลแวร์จะใช้เทคนิคขั้นสูงเพื่อหลีกเลี่ยงการตรวจจับและการลบออก ตัวอย่างเช่น มีการระบุสคริปต์ PowerShell ที่ได้รับการออกแบบมาเพื่อจัดการเครื่องมือความปลอดภัยและหลีกเลี่ยงการถูกลบโดยซอฟต์แวร์ป้องกันไวรัส เมื่อเป็นเช่นนี้ สิ่งที่ดีที่สุดคือการทบทวน การป้องกันที่มีประสิทธิภาพใน Windows ด้วยโปรแกรมป้องกันไวรัส.

นอกจากนี้ ไฟล์ที่เป็นอันตรายบางไฟล์ยังรวมถึงเพย์โหลดที่ปฏิบัติการได้ซึ่งใช้งาน AutoIt โดยอนุญาตให้รันโค้ดโดยไม่แจ้งให้ผู้ใช้ทราบถึงการมีอยู่ของไฟล์ดังกล่าว กลวิธีนี้ช่วยให้การขโมยข้อมูลยังคงเกิดขึ้นแม้ว่าระบบจะรีบูตแล้วก็ตาม

Microsoft ดำเนินการแล้วแต่ยังคงมีความเสี่ยง

เมื่อพิจารณาจากความรุนแรงของการโจมตี Microsoft จึงสามารถทำลายที่เก็บข้อมูลอันตรายที่ใช้ใน GitHub ได้สำเร็จ อย่างไรก็ตาม เขาเตือนว่าภัยคุกคามดังกล่าวยังไม่ถูกกำจัดออกไปอย่างสมบูรณ์ ผู้เชี่ยวชาญด้านความปลอดภัยได้กำหนดรหัสชื่อ Storm-0408 ให้กับปฏิบัติการอันตรายนี้ ซึ่งเชื่อมโยงกับการโจมตีก่อนหน้านี้ที่ใช้โฆษณาหลอกลวงและแคมเปญฟิชชิ่งเพื่อเผยแพร่มัลแวร์

แม้ว่าจะมีการระบุเพย์โหลดที่โฮสต์บนบริการเช่น Dropbox และ Discord แล้วก็ตาม แต่ผู้โจมตียังไม่ได้เชื่อมโยงกับกลุ่มภัยคุกคามใดโดยเฉพาะ อย่างไรก็ตาม ผลกระทบของแคมเปญนี้แพร่หลายไปทั่ว ส่งผลต่อทั้งผู้ใช้ตามบ้านและธุรกิจในหลากหลายภาคส่วน

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์แนะนำให้ผู้ใช้หลีกเลี่ยงเว็บไซต์สตรีมมิ่งที่ผิดกฎหมายและใช้ความระมัดระวังเป็นพิเศษเมื่อคลิกโฆษณาที่น่าสงสัย นอกจากนี้ สิ่งสำคัญคือต้องอัปเดตระบบปฏิบัติการให้ทันสมัยและใช้เครื่องมือรักษาความปลอดภัยที่สามารถตรวจจับการโจมตีเหล่านี้ได้ก่อนที่จะส่งผลกระทบต่ออุปกรณ์ วิธีที่ดีที่สุดอย่างหนึ่งในการปกป้องตัวเองคือการรู้จัก หากแอปพลิเคชันของฉันบน Windows เป็นเวอร์ชันล่าสุด.

บทความที่เกี่ยวข้อง:

วิธีปิดการใช้งาน Windows Defender ใน Windows 10

แคมเปญแอดแวร์ Windows นี้เน้นย้ำถึงความสำคัญของการเสริมสร้างมาตรการรักษาความปลอดภัยทางไซเบอร์ สร้างนิสัยการท่องเว็บที่ปลอดภัยเพื่อลดความเสี่ยงต่อการติดเชื้อ แบ่งปันข่าวสารนี้เพื่อให้ผู้ใช้รายอื่นได้รับทราบข่าวสาร.