นักวิจัยเตือนการอัพเดต Adobe Flash Player อาจเสี่ยงต่อการติดตั้งมัลแวร์ Cryptojacking

0
263

นักวิจัยด้านความปลอดภัยได้เตือนว่าการอัพเดต Flash Player จากเว็บไซต์ที่ไม่ถูกต้องอาจเสี่ยงต่อการติดตั้งมัลแวร์ cryptojacking  บนคอมพิวเตอร์ของผู้ใช้งานเพื่อนำมาขุดเหรียญ monero ( XMR )

ตามโพสต์ที่เผยแพร่โดย Unit 40’s นาย Brad Duncan กล่าวว่า การอัพเดต Flash Player หลอกลวงดังกล่าวจะหลอกเหยื่อด้วยการขึ้นแจ้งเตือนแบบป๊อปอัปจากโปรแกรมติดตั้ง Adobe อย่างเป็นทางการ แต่เพิ่มมัลแวร์ลงในไฟล์เหล่านั้น เมื่อผู้ใช้งานยืนยันการอัพเดตแล้วพวกเขาจะได้รับการติดตั้งโปรแกรมมัลแวร์เช่น XMRig cryptocurrency miner  

Fakeflash_1-768x472

Duncan กล่าวว่าการอัพเดตเหล่านี้ยังติดตั้ง Flash Player ที่แท้จริงของ Adobe ด้วยเพื่อพยายามหลอกให้ผู้ที่ตกเป็นเหยื่อนั้นเชื่อว่าเป็นการอัปเดตที่ถูกต้องและไม่สังเกตเห็นสิ่งผิดปกติใดๆ ในขณะที่โปรแกรมที่ไม่พึงประสงค์อื่นๆแอบทำงานอย่างเงียบๆในพื้นหลังของเครื่องคอมพิวเตอร์ของเหยื่อ

การอัปเดต Flash ปลอมเหล่านี้เราสามารถสังเกตได้โดยดูจากชื่อไฟล์ที่ขึ้นต้นด้วย AdobeFlashPlayer__ตามด้วยตัวเลขหรือตัวหนังสือ .exe และมาจากเว็บเซิร์ฟเวอร์ที่ไม่ใช่ของ Adobe และจะประกอบไปด้วย flashplayer_down.php? clickid = ใน URL เสมอ

FakeFlash_3

ตัวอย่างหน้าตาของโปรแกรม Adobe Flash Player ที่แอบติดตั้งมัลแวร์แถมมาด้วย

FakeFlash_4-768x473

หลังจากรันโปรแกรมจะดาวน์โหลด Flash Player จาก Adobe เวอร์ชั่นล่าสุด

FakeFlash_7-768x441

หน้าต่างจาก Adobe ขอบคุณที่ติดตั้ง Flash Player

FakeFlash_9-650x207

เมื่อตรวจด้วยโปรแกรม Wireshark จะพบการรับส่งข้อมูลที่เกี่ยวการขุด XMR

FakeFlash_10-768x437

กระเป๋าWallet ที่เก็บ Monero สำหรับมัลแวร์ขุดเหมืองนี้คือ 41ompKc8rx9eEXtAAm6RJTTm6jg8p6v3y33UqLMsUJS3gdUh739yf7ThiSVzsU4me7hbtVB61rf7EAVsJeRJKGQH4LFi3hR

ตัวอย่างชื่อไฟล์ทั้งหมด 473 ไฟล์และ URL ที่เกี่ยวข้องสำหรับการอัพเดท Flash ที่ตรวจพบสามารถดูข้อมูลได้ที่ลิงค์นี้ LINK

 

ที่มา : LINK

 

ใส่ความเห็น

This site uses Akismet to reduce spam. Learn how your comment data is processed.