รายงานใหม่จาก Genians Security Center เปิดเผยว่ากลุ่มแฮกเกอร์ Konni (กลุ่ม APT ที่มีความเชื่อมโยงกับรัฐบาลเกาหลีเหนือ) ได้ยกระดับการโจมตีทางไซเบอร์ไปอีกขั้น ด้วยการเปลี่ยนระบบโฆษณาออนไลน์ที่เราคุ้นเคยอย่าง Google และ Naver ให้กลายเป็นอาวุธในการแพร่กระจายไวรัส
กลโกง “Operation Poseidon” ทำงานอย่างไร?
แทนที่จะส่งลิงก์เว็บอันตรายตรงๆ ซึ่งมักจะถูกระบบสแกนเมลบล็อกได้ง่าย แฮกเกอร์กลุ่มนี้ใช้วิธี
1. ส่งอีเมล Spear Phishing: ส่งอีเมลหลอกลวงไปยังเหยื่อเป้าหมาย
2. ใช้ลิงก์โฆษณาบังหน้า: ลิงก์ที่แนบมาเป็น URL ของระบบโฆษณา Google หรือ Naver ซึ่งดูน่าเชื่อถือและผ่านการตรวจสอบจากระบบความปลอดภัยส่วนใหญ่ได้
3. การเปลี่ยนเส้นทาง (Redirection): เมื่อเหยื่อคลิก ระบบจะพาไปยังเว็บไซต์ WordPress ที่แฮกเกอร์ยึดไว้ แล้วหลอกให้ดาวน์โหลดมัลแวร์
4. หลบเลี่ยง AI: ในอีเมลหลอกลวงมีการซ่อนข้อความภาษาอังกฤษที่ไม่มีความหมายไว้เพื่อทำให้ AI ตรวจจับสแปมสับสน
เหยื่อจะได้รับมัลแวร์ชื่อ “EndRAT” ซึ่งแฝงตัวมาในรูปแบบไฟล์สคริปต์ AutoIt ที่ปลอมแปลงไอคอนและชื่อให้ดูเหมือนไฟล์เอกสาร PDF ปกติ
การโจมตีครั้งนี้แสดงให้เห็นว่าแฮกเกอร์มีความซับซ้อนขึ้นเรื่อยๆ โดยอาศัย “ความไว้ใจ” ที่ผู้ใช้มีต่อแพลตฟอร์มใหญ่อย่าง Google มาเป็นเครื่องมือในการเจาะระบบ องค์กรและผู้ใช้งานทั่วไปจึงต้องระมัดระวังการคลิกลิงก์จากอีเมลให้มากยิ่งขึ้น แม้ว่าลิงก์นั้นจะดูเหมือนมาจากเว็บดังก็ตาม
Tag: #CyberSecurity#GoogleAds#Malware#NorthKorea#Hacker#KonniGroup#Phishing#เตือนภัยไซเบอร์#CyberSecurity#ข้อมูลส่วนบุคคล
