นักวิจัยด้านความปลอดภัยได้เตือนว่าการอัพเดต Flash Player จากเว็บไซต์ที่ไม่ถูกต้องอาจเสี่ยงต่อการติดตั้งมัลแวร์ cryptojacking บนคอมพิวเตอร์ของผู้ใช้งานเพื่อนำมาขุดเหรียญ monero ( XMR )
ตามโพสต์ที่เผยแพร่โดย Unit 40’s นาย Brad Duncan กล่าวว่า การอัพเดต Flash Player หลอกลวงดังกล่าวจะหลอกเหยื่อด้วยการขึ้นแจ้งเตือนแบบป๊อปอัปจากโปรแกรมติดตั้ง Adobe อย่างเป็นทางการ แต่เพิ่มมัลแวร์ลงในไฟล์เหล่านั้น เมื่อผู้ใช้งานยืนยันการอัพเดตแล้วพวกเขาจะได้รับการติดตั้งโปรแกรมมัลแวร์เช่น XMRig cryptocurrency miner
Duncan กล่าวว่าการอัพเดตเหล่านี้ยังติดตั้ง Flash Player ที่แท้จริงของ Adobe ด้วยเพื่อพยายามหลอกให้ผู้ที่ตกเป็นเหยื่อนั้นเชื่อว่าเป็นการอัปเดตที่ถูกต้องและไม่สังเกตเห็นสิ่งผิดปกติใดๆ ในขณะที่โปรแกรมที่ไม่พึงประสงค์อื่นๆแอบทำงานอย่างเงียบๆในพื้นหลังของเครื่องคอมพิวเตอร์ของเหยื่อ
การอัปเดต Flash ปลอมเหล่านี้เราสามารถสังเกตได้โดยดูจากชื่อไฟล์ที่ขึ้นต้นด้วย AdobeFlashPlayer__ตามด้วยตัวเลขหรือตัวหนังสือ .exe และมาจากเว็บเซิร์ฟเวอร์ที่ไม่ใช่ของ Adobe และจะประกอบไปด้วย flashplayer_down.php? clickid = ใน URL เสมอ
ตัวอย่างหน้าตาของโปรแกรม Adobe Flash Player ที่แอบติดตั้งมัลแวร์แถมมาด้วย
หลังจากรันโปรแกรมจะดาวน์โหลด Flash Player จาก Adobe เวอร์ชั่นล่าสุด
หน้าต่างจาก Adobe ขอบคุณที่ติดตั้ง Flash Player
เมื่อตรวจด้วยโปรแกรม Wireshark จะพบการรับส่งข้อมูลที่เกี่ยวการขุด XMR
กระเป๋าWallet ที่เก็บ Monero สำหรับมัลแวร์ขุดเหมืองนี้คือ 41ompKc8rx9eEXtAAm6RJTTm6jg8p6v3y33UqLMsUJS3gdUh739yf7ThiSVzsU4me7hbtVB61rf7EAVsJeRJKGQH4LFi3hR
ตัวอย่างชื่อไฟล์ทั้งหมด 473 ไฟล์และ URL ที่เกี่ยวข้องสำหรับการอัพเดท Flash ที่ตรวจพบสามารถดูข้อมูลได้ที่ลิงค์นี้ LINK
ที่มา : LINK
