Kaspersky พบการแพร่กระจาย malware ผ่าน Facebook Messenger จำนวนมาก

Kaspersky พบว่ามีผู้ใช้ Facebook จำนวนมากพบการส่ง link แปลกๆหากันผ่าน Facebook Messenger โดย Link ดังกล่าวจะพาไปยัง Google Doc โดยภายในนั้นจะมีรูปของเหยื่อและสร้าง link ที่คล้ายๆกับ VDO ไว้ เมื่อกดเข้าไปจะมี JavaScript ที่ชื่อว่า injection.js(ebc117c0cf03ad4b13184d1253862586) ฝังอยู่ โดย Javascript ดังกล่าวมีการดัดแปลงให้สามารถตรวจจับได้ยาก (Obfuscated) และมีการทำให้ซับซ้อนในการ track มีการใช้งาน domain มากมาย เพื่อให้ตรวจหาต้นทางเจอได้ยาก

 

เมื่อกด link ตัว script จะทำการจดจำข้อมูลต่างๆของเครื่องเหยื่อไว้ รวมถึงตำแหน่งของเครื่องด้วย หากเราใช้งาน Browser อื่นนอกเหนือจาก Internet Explorer เช่น Firefox ตัว script จะนำเราไปอีกที่หนึ่ง ซึ่งเป็นหน้า update VideoPlayer ซึ่งแน่นอนว่าจริงๆแล้วไฟล์ดังกล่าวเป็น adware แทน

หากเป็น Chrome ตัว script ก็จะพาไปยัง website ที่หน้าตาคล้ายๆกับ Youtube แล้วมีการตั้ง alert ให้ download Chrome Extension ที่เป็น malware จาก Google Web Store อีกด้วย
โดยภายใน Chrome Extension ดังกล่าวมี log file ที่เขียนชื่อ username ของ developer ไว้ด้วย แต่ก็ไม่แน่ใจว่ามันเกี่ยวกับการแพร่กระจายครั้งนี้ด้วยหรือไม่

หากเป็น OSX Safari เมื่อเปิดจะถูกนำไปยังหน้าที่เหมือนกับของตอน Firefox แต่จะมีการปล่อย update Flash Media Player เป็นไฟล์ .dmg แทน

ใครจะ click อะไรที่เป็น Link ที่ถูกส่งใน Facebook Messenger ก็ระวังกันหน่อยนะครับ

Source:: Securelist