Vidar

ร้านค้าออนไลน์หลายรายตกเป็นเป้าหมายของมัลแวร์ Vidar 

By admin News

เนื่องจากการเข้าถึงของข้อมูล Credentials ของเว็บไซต์อีคอมเมิร์ซ

มัลแวร์ Vidar ที่ใช้ในการขโมยข้อมูลช่วยให้ผู้ไม่ประสงค์ดีสามารถขโมยข้อมูล credentials
ของลูกค้าไปใช้ในการโจมตีที่มีผลกระทบรุนแรงได้ โดย Threat actors จะส่งคำร้องเรียนออนไลน์ผ่านทางอีเมล
และแบบฟอร์มติดต่อไปยังเว็บไซต์ของร้านค้า ผ่านการเขียนอีเมล์ปลอม อ้างว่าเป็นลูกค้าของร้านค้าที่ได้ถูกหักเงินจำนวน 550 ดอลลาร์ออกจากบัญชีธนาคารของพวกเขา แต่คำสั่งซื้อที่ดำเนินการไม่สำเร็จ

BleepingComputer ได้รับหนึ่งในอีเมลเหล่านี้ในสัปดาห์นี้และหลังจากการวิจัยเกี่ยวกับการโจมตีนี้พบว่ามีการแพร่กระจายอย่างมาก โดยมีการส่งข้อมูลจำนวนมากไปยังฐานข้อมูลของ VirusTotal

ในช่วงสัปดาห์ที่ผ่านมาร้านค้าออนไลน์เป็นเป้าหมายหลักสำหรับผู้ไม่ประสงค์ดี เนื่องจากการเข้าถึงของข้อมูล Credentials ของเว็บไซต์อีคอมเมิร์ซจะทำให้เปิดโอกาสถูกโจมตี ตัวอย่างเช่น เมื่อผู้ไม่ประสงค์ดีได้เข้าถึงคลังข้อมูลของทางร้านค้าออนไลน์ พวกเขาจะสามารถฝัง JavaScript ที่เป็นอันตรายเพื่อดำเนินการโจมตี MageCart ได้ ซึ่งเป็นกรณีที่รหัสบัตรเครดิตและข้อมูลส่วนบุคคลของลูกค้าถูกขโมยในขณะที่ทำการชำระเงิน การเข้าถึงคลังข้อมูลของระบบ Backend access และยังสามารถใช้ในการขโมยข้อมูลลูกค้าของเว็บไซต์โดยการสร้างสำเนาข้อมูลของร้านค้าซึ่งสามารถใช้ในการเรียกค่าไถ่ได้ มิฉะนั้นข้อมูลจะถูกเปิดเผยต่อสาธารณะหรือขายให้กับผู้ไม่ประสงค์ดีอื่นๆ

ในต้นสัปดาห์นี้ BleepingComputer ได้รับอีเมลปลอมจากผู้ไม่ประสงค์ดีที่ถูกเรียกเก็บเงิน 550 ดอลลาร์ แม้ว่าคำสั่งซื้อจะไม่ได้เกิดขึ้น ดังต่อไปนี้: 

 
“ฉันเขียนอย่างนี้เพื่อแสดงความกังวลและผิดหวังอย่างมากเกี่ยวกับธุรกรรมล่าสุดที่ฉันทำบนเว็บไซต์ของคุณ ในวันที่ 14 พฤษภาคม 2023 ฉันได้ทำการซื้อสินค้าที่มีมูลค่าเกิน 550 ดอลลาร์จากร้านค้าของคุณ อย่างไรก็ตาม ปัญหาที่เกิดขึ้นที่ต้องการการรับผิดชอบจากคุณโดยเร็วที่สุด หลังจากที่ฉันทำการซื้อสินค้าเสร็จสิ้น ฉันพบสัญญาณข้อผิดพลาดบนหน้าเว็บของคุณที่ระบุว่าไม่สามารถทำการชำระเงินได้และไม่มีการเบิกเงินจากบัตรเครดิตของฉัน หลังจากที่ฉันตรวจสอบบัญชีธนาคารของฉัน ฉันพบว่าการชำระเงินได้รับการดำเนินการและมีการถูกหักค่าใช้จ่ายด้วยจำนวนเงินเดียวกัน ฉันขอให้คุณจัดการกับปัญหานี้อย่างเร่งด่วนที่สุดและแก้ไขปัญหาโดยรวดเร็ว ที่สำคัญคุณควรตรวจสอบสาเหตุของความผิดพลาดนี้และดำเนินการทันทีเพื่อคืนเงินที่ถูกหักไป เพื่อการตรวจสอบและเป็นหลักฐานของการซื้อขาย ฉันได้แนบสำเนารายการธนาคารของฉันด้านล่างซึ่งแสดงถึงการหักเงิน สิ่งนี้ควรเป็นหลักฐานสุดท้ายของการชำระเงินและเร่งด่วนในการคืนเงินทั้งหมดฉันจะประเมินค่าการดำเนินการของคุณในทันที นี่คือลิงก์สำหรับรายการธนาคารของฉัน https://bit.ly/xxxx” 

ในอีเมลดังกล่าวจะสังเกตได้ว่ามีลิงก์ bit.ly ซึ่งถูกเข้ารหัสมาเพื่อซ่อนลิงก์ต้นฉบับ อีเมลถูกเขียนขึ้นเพื่อทำให้เกิดความรู้สึกเร่งด่วน และต้องการให้ร้านค้าคืนเงินและตรวจสอบหาสาเหตุหลักของปัญหา เมื่อคลิกที่ URL นั้นจะทำการแสดงเว็บไซต์ที่เสมือนจริงเป็น Google Drive ในการทดสอบของ BleepingComputer เว็บไซต์ปลอม Google Drive นี้จะแสดงเอกสารของธนาคารหรือเรียกร้องให้ผู้ใช้ดาวน์โหลดข้อมูลธนาคาร 

โดเมนที่เชื่อว่าเกี่ยวข้องได้แก่ : 

เว็บไซต์แสดงข้อมูลธนาคาร จะแสดงตัวอย่างจากธนาคาร Commerce Bank ซึ่งใช้ข้อมูลตัวอย่าง เช่น ชื่อลูกค้า “Jane Customer” ที่อยู่ “Anywhere Dr.” 

รูปภาพ : อีเมลฟิชชิ่งใบแจ้งยอดธนาคารปลอม 

ที่มา: Bleeping Computer 

อย่างไรก็ตามการทดสอบอื่นๆ อาจแสดงหน้าเว็บปลอมของ Google Drive ที่ระบุว่าไม่สามารถแสดงตัวอย่างได้
และแนะนำผู้ใช้ดาวน์โหลด ‘Bank_statement.pdf’ การดำเนินการดังกล่าวจะทำให้เป้าหมายดาวน์โหลดไฟล์ประเภท ‘bank_statement.scr’ ที่เป็นไฟล์เป็นแบบ Executable

รูปภาพ : เว็บไซต์ Google Drive ปลอมทำการดาวน์โหลดไฟล์ชื่อ ‘bank_statement.scr’ 

แหล่งที่มา: BleepingComputer 

ในขณะที่โปรแกรมป้องกันไวรัสบน VirusTotal ตรวจจับเฉพาะมัลแวร์ดักจับข้อมูลทั่วไปแต่โปรแกรม Recorded Future’s Triage สามารถตรวจจับ Vidar ซึ่งเป็นมัลแวร์ที่ใช้ขโมยคุกกี้เบราว์เซอร์, ประวัติการเรียกใช้งานเบราว์เซอร์, รหัสผ่านที่บันทึกไว้, กระเป๋าเงิน Cryptocurrency, ไฟล์ข้อความ, ฐานข้อมูล Authy 2FA
และภาพหน้าจอของ Windows ที่เปิดใช้งานอยู่ ข้อมูลดังกล่าวจะถูกอัปโหลดขึ้นไปยัง Remote server
เพื่อให้ผู้ไม่ประสงค์ดีสามารถเก็บรวบรวมข้อมูลได้ หลังจากส่งข้อมูลแล้ว ไฟล์จะถูกลบออกจากเครื่องที่ติดมัลแวร์
และเหลือไว้เป็นไดเร็กทอรีที่มีโฟลเดอร์เปล่าๆอยู่ภายใน เมื่อผู้ไม่ประสงค์ดีได้รับข้อมูลที่ถูกขโมยแล้ว
พวกเขาอาจจะขายข้อมูลให้กับผู้ไม่ประสงค์ดีอื่นหรือใช้ข้อมูลเหล่านั้นเพื่อเข้าถึงบัญชีที่เหยื่อใช้งาน

คำแนะนำ 

  • ควรสแกนคอมพิวเตอร์ของคุณเพื่อตรวจสอบมัลแวร์และทำการลบเพื่อป้องกันการโจมตีเพิ่มเติม  
  • ควรเปลี่ยนรหัสผ่านของบัญชีทั้งหมดของคุณ โดยเฉพาะบัญชีที่เกี่ยวข้องกับเว็บไซต์การค้าออนไลน์ของคุณ บัญชีธนาคาร และที่อยู่อีเมลของคุณทุก 3 – 6 เดือน 
  • ควรสำรวจเว็บไซต์ eCommerce ของคุณอย่างละเอียดเพื่อตรวจสอบการฝัง Code ลงในเทมเพลต HTML บัญชีใหม่ หรือการแก้ไข Code ต้นฉบับของเว็บไซต์ 

อ้างอิง : https://www.bleepingcomputer.com/news/security/online-sellers-targeted-by-new-information-stealing-malware-campaign/?&web_view=true 

 

Share