รูปที่ 1 ตัวอย่างการแจ้งเตือนที่พบ
12 พ.ค.2559 ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต) สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) รายงานว่า เมื่อวันที่ 10 พ.ค. ที่ผ่านมา ไทยเซิร์ตได้รับแจ้งว่ามีการแพร่กระจายมัลแวร์ผ่าน Facebook โดยลักษณะคือผู้ใช้จะได้รับแจ้งเตือนว่าถูกพาดพิงโดยบุคคลที่สาม ดังแสดงในรูปที่ 1
พฤติกรรมการทำงานของมัลแวร์
รายละเอียดของไฟล์มัลแวร์ที่พบ
ชื่อไฟล์: Instalador_Cores.scr ขนาด: 3,482,624 bytes
MD5: add95d1e66128ab488dadda469b7b377
SHA-256: 52eb68b2cef481d8c0a3a6ab5a85c5be9dcf2c70a81d0b7dfe0991a83bf6755b
พฤติกรรมการทำงาน
เมื่อดับเบิ้ลคลิกไฟล์ Instalador_Cores.scr พบหน้าจอให้ติดตั้งโปรแกรมดังรูปที่ 3
รูปที่ 3 หน้าจอให้ติดตั้งโปรแกรม
รูปที่ 5 ตัวอย่างลักษณะการทำงานที่สวมรอยบัญชี Facebook โพสต์คอมเมนต์โดยไม่ได้รับอนุญาต
จากกรณีนี้ ไทยเซิร์ตพบว่าผู้สร้างมัลแวร์นำระบบแจ้งเตือนคอมเมนต์ของ Facebook มาใช้เป็นหนึ่งในวิธีการแพร่กระจาย เนื่องจาก Facebook อนุญาตให้ผู้พัฒนาเว็บไซต์สามารถติดตั้งปลั๊กอิน Facebook Comments (https://developers.facebook.com/docs/plugins/comments/) เพื่อให้ผู้เยี่ยมชมเว็บไซต์สามารถแสดงความคิดเห็นในหน้าเว็บไซต์ได้โดยใช้ล็อกอินของ Facebook ซึ่งในช่องคอมเมนต์ผู้ใช้สามารถพาดพิงถึงเพื่อนที่อยู่ในรายชื่อผู้ติดต่อได้ ดังรูปที่ 6 ซึ่งเมื่อผู้ที่ถูกพาดพิงได้รับแจ้งเตือนและกดอ่าน ก็จะถูกนำมาที่เว็บไซต์ที่มีคอมเมนต์ดังกล่าวอยู่
รูปที่ 6 การพาดพิงถึงเพื่อนในช่อง Facebook Comments
ช่องทาง Facebook Comments สามารถใช้ในการหลอกให้ผู้ใช้เข้าไปยังเว็บไซต์อันตรายได้ เช่น เว็บไซต์ที่หลอกให้ดาวน์โหลดมัลแวร์ หรือหน้าเว็บไซต์ปลอมที่หลอกขโมยรหัสผ่าน (Phishing) เป็นต้น
ข้อแนะนำในการป้องกันและแก้ไข
การแก้ไขหากตกเป็นเหยื่อ สำหรับผู้ใช้ที่ตกเป็นเหยื่อและเผลอติดตั้งมัลแวร์จากไฟล์ Instalador_Cores.scr สามารถแก้ไขได้ดังนี้
1. ไปที่ไดเรกทอรี C:\User\[ชื่อผู้ใช้]\AppData\Local\Google\Update แล้วลบไฟล์ที่มัลแวร์สร้าง ดังนี้
- /background.html
- /css/spectrum.css
- /css/style.css
- /img/icon.png
- /img/icon128.png
- /img/icon19.png
- /img/icon38.png
- /img/icon48.png
- /js/background.js
- /js/contentScript.js
- /js/lib/jquery-1.8.2.min.js
- /js/lib/spectrum.js
- /js/popup.js
- /manifest.json
- /popup.html
2. ลบไอคอน Google Chrome ที่ถูกสร้างขึ้นใหม่ออกจาก Desktop การป้องกันการโจมตีลักษณะนี้ในอนาคต
- ผู้ใช้ Facebook ควรอ่านข้อความแจ้งเตือนที่ปรากฏบนหน้าจอ โดยเฉพาะเมื่อ Facebook แจ้งว่าการคลิกลิงก์จะเป็นการเปลี่ยนเส้นทางไปยังเว็บไซต์อื่น
- หากคลิกลิงก์จาก Facebook แล้วพบหน้าจอขอให้ใส่รหัสผ่าน ไม่ควรใส่ข้อมูลเพราะอาจเป็นหน้าเว็บไซต์หลอกลวง (Phishing)
- หากคลิกลิงก์จาก Facebook แล้วพบหน้าจอขอให้ดาวน์โหลดโปรแกรม ควรพิจารณาก่อนดาวน์โหลดโปรแกรมนั้นเพราะอาจเป็นอันตรายได้
- ผู้ดูแลระบบอาจพิจารณาบล็อคเว็บไซต์ pinandwin8.co.nz เนื่องจากเป็นเว็บไซต์ที่เผยแพร่มัลแวร์
ร่วมบริจาคเงิน สนับสนุน ประชาไท โอนเงิน กรุงไทย 091-0-10432-8 "มูลนิธิสื่อเพื่อการศึกษาของชุมชน FCEM" หรือ โอนผ่าน PayPal / บัตรเครดิต (รายงานยอดบริจาคสนับสนุน)