เมื่อไม่กี่สัปดาห์ที่ผ่านมา Microsoft ออกมาเตือนผู้ใช้ Windows เกี่ยวกับการโจมตีทางไซเบอร์ที่กำลังเพิ่มขึ้น โดยใช้ไฟล์ PDF เป็นเครื่องมือหลักในการแพร่กระจายมัลแวร์ การแจ้งเตือนนี้เกิดขึ้นก่อนวันยื่นภาษีในสหรัฐฯ โดย Microsoft พบว่าแฮกเกอร์ใช้ไฟล์ PDF ที่ฝังลิงก์ DoubleClick ซึ่งเปลี่ยนเส้นทางไปยังลิงก์ย่อ Rebrandly และนำผู้ใช้ไปยังหน้า DocuSign ปลอมที่สร้างขึ้นมาเลียนแบบเว็บไซต์จริง
สิ่งที่ทำให้การโจมตีนี้ร้ายกาจยิ่งขึ้นคือ เมื่อผู้ใช้คลิกดาวน์โหลด ระบบจะตรวจสอบว่าที่อยู่ IP และเครื่องของเหยื่อได้รับอนุญาตให้เข้าถึงขั้นตอนถัดไปหรือไม่ โดยใช้กฎการกรองที่แฮกเกอร์ตั้งค่าไว้ วิธีนี้ช่วยให้แฮกเกอร์หลบเลี่ยงการตรวจจับจากนักวิจัยด้านความปลอดภัย และทำให้การหาทางแก้ไขยากขึ้นมาก
ล่าสุด ทีม TrustWave SpiderLabs ออกมาเตือนถึงแคมเปญการโจมตีใหม่ที่แพร่กระจาย RemcosRAT ซึ่งเป็นมัลแวร์ควบคุมระยะไกล โดยใช้ไฟล์ PDF ที่แนบสำเนาการชำระเงิน SWIFT ปลอมมาล่อเหยื่อ ภายใน PDF มีลิงก์ไปยังไฟล์ JavaScript ที่ถูกทำให้ซับซ้อน เมื่อผู้ใช้เปิดไฟล์ สคริปต์ดังกล่าวจะใช้ ActiveXObject เพื่อดาวน์โหลดสคริปต์ขั้นต่อไป จากนั้นจะเรียกใช้ PowerShell เพื่อโหลดและถอดรหัสภาพที่ฝากไว้บน archive.org ซึ่งดูเหมือนไม่มีพิษภัย แต่จริง ๆ แล้วแฝง payload ของ Remcos ไว้ด้วยเทคนิค steganography หรือการซ่อนข้อมูลในไฟล์ภาพ
สิ่งที่น่ากังวลคือ กลวิธีการปกปิดของแฮกเกอร์พัฒนาไปไกลมาก จากเดิมที่ซ่อนลิงก์ไว้หลัง QR code หรือเขียน PDF โดยไม่ใส่แท็ก URL เพื่อเลี่ยงการตรวจสอบจากซอฟต์แวร์ป้องกันไวรัส มาจนถึงการใช้ steganography ที่ทำให้ผู้ใช้ทั่วไปแทบไม่สามารถตรวจจับความผิดปกติได้เลย
รายละเอียด – Forbes
