ระวัง! Spammer Necurs ส่งอีเมล์ขยะหาเหยื่อในวันวาเลนไทน์

วันวาเลนไทน์ วันแห่งความรักแต่ก็มีบางคนใช้วันพิเศษเหล่านี้กระทำสิ่งที่ไม่ดี ดังเช่นกรณีของ Necurs botnet ที่มุ่งเน้นด้านสแปม โดยทาง IBM X-Force ได้ทำการเฝ้าดู Necurs botnet มาตั้งแต่กลางเดือนมกราคม 2561

Necurs botnet เป็นสแปมที่มีขนาดใหญ่ ซึ่งคาดว่าสามารถควบคุมซอมบี้บอทมากกว่า 6 ล้านเครื่อง botnet นี้เป็นที่รู้จักกันดีในกลุ่มของมัลแวร์ที่แพร่กระจายไวรัสโทรจันในธนาคาร เช่น Dridex และ TrickBot รวมถึงพวก ransomware เช่น Locky, Scarab และ Jaff แต่ Necurs ไม่เพียงเกี่ยวข้องกับมัลแวร์เท่านั้น Necurs ยังมีการสร้างสแปมขึ้นมาเพื่อทำการหลอกลวงอื่นๆ อีก ดังเช่นเหตุการณ์ที่เกิดขึ้นเมื่อไม่นานมานี้ ในปี 2560 โดยทาง IBM X-Force พบว่า Necurs ได้ปล่อยข่าวเกี่ยวกับหุ้นเพนนีว่ามีแนวโน้นเพิ่มขึ้นจำนวนมากเพื่อปั่นให้มีผู้ซื้อหุ้นจำนวนมาก และเมื่อหุ้นมีมูลค่าสูงขึ้น บรรดาผู้หลอกลวงทางอินเตอร์เนต หรือที่เรียกกันว่า scammer จะพากันขายหุ้นของตนเพื่อทำกำไร เมื่อหุ้นเพนนีดรอป หรือตกลงมาตามมูลค่าราคาตลาดจริง ผู้ที่ซื้อหุ้นไปก็จะไม่ได้อะไรเลย

และเมื่อต้นปี 2561 botnet ได้มีส่วนร่วมในแผนการขุดเงิน cryptocurrency ขนาดใหญ่ที่เกิดขึ้น ล่าสุดนี้ Necurs ได้ทำการส่งอีเมลสแปมการนัดเดทในวันวาเลนไทน์ที่จะถึงนี้

ในตอนนี้ทาง IBM X-Force ได้ทำการบันทึกว่า Necurs ได้ส่งอีเมลสแปมไปมากกว่า 230 ล้านฉบับภายในเวลาไม่กี่สัปดาห์ สแปมเมลเหล่านี้ถูกส่งจาก IP address ที่แตกต่างกันถึง 950,000 IP โดยผู้ส่งที่มากที่สุดมาจากโฮสต์ที่มี ISP อยู่ในปากีสถาน หมายเลข IP คือ 103.255.5.117 ซึ่งทาง IBM X-Force ได้รับรายงานว่าเป็นสแปมอีเมลถึง 655 ครั้ง ทาง IBM X-Force ถือว่าปัญหานี้มีความเสี่ยงอยู่ในระดับ 10 ซึ่งถือว่าเป็นระดับความเสี่ยงที่สูงที่สุด สแปมอีเมลนี้ได้ถูกส่งออกไปถึง 2 ครั้ง โดยครั้งแรกเริ่มเมื่อวันที่ 16 จนถึงวันที่ 18 มกราคม ส่วนครั้งที่ 2 เริ่มเมื่อวันที่ 27 มกราคม จนถึงวันที่ 3 กุมภาพันธ์

ภาพที่ 1 จำนวนสแปมที่สร้างโดย Necurs บันทึกไว้ตั้งแต่วันที่ 1 มากราคม
ภาพจาก IBM X-Force

จากจดหมายที่ส่งออกไปประมาณ 30 ล้านฉบับต่อวัน โดยส่งจากผู้หญิงจากรัสเซียที่อยู่ในอเมริกา ข้อความในจดหมายที่เขียนนั้นจะสะกดไม่ถูกต้อง แถมยังใช้หลักไวยากรณ์ผิดอีกด้วย ดังเช่นตัวอย่าง

ภาพที่ 2 ตัวอย่างสแปมอีเมล
ภาพจาก IBM X-Force

ข้อความในจดหมายนั้นมาจากอีเมลที่ใช้แล้วทิ้ง โดยใช้ชื่อผู้ส่งที่เชื่อถือได้ ซึ่งข้อความที่ส่งไปจะขอให้ผู้รับติดต่อกลับผู้เขียนโดยใช้อีเมลของคนอื่นแทน หลายๆ ข้อความนั้นแสดงให้เห็นว่าผู้รับมีโปรไล์ใน Facebook กับ Badoo – Badoo เป็นแอปหาคู่ที่สร้างขึ้นโดยชาวรัสเซีย Andrey Andreev และเป็นแอปที่ได้รับความนิยมมากในรัสเซีย

การสแปมโดย วิธีการส่งข้อความจากผู้หญิงนี้ถือว่าเป็นวิธีการแบบเก่า ลักษณะของข้อความในอีเมลนั้นไม่มีอะไรมากนอกจากข้อความพื้นฐาน และไม่น่าดึงดูดสักเท่าไหร่ แต่อย่างว่า เมื่อมันเป็นสแปม มีปริมาณมาก อีกทั้งเปอร์เซนต์ที่หลอกให้ผู้รับตอบกลับก็น้อย แฮกเกอร์ที่อยู่เบื้องหลังแคมเปญนี้จะทำการหลอกล่อเหยื่อด้วยการค่อยๆ เปิดเผยภาพ และบังคับให้เหยื่อยอมเสียเงินหากเหยื่อต้องการเข้าไปดู หรืออาจทำให้ติดไวรัสมัลแวร์

จากภาพแสดงให้เห็นว่า IP ที่ถูกสแปมมาจากเวียดนามเป็นอันดับ 1 อินเดียเป็นอันดับ 2 ถึงอย่างไรมันก็ยังคุ้มค่า และเป็นประโยชน์สำหรับบรรดา spammer อยู่ดี เนื่องจากอีเมลที่ spammer ใช้นั้นเป็นอีเมลที่ใช้แล้วทิ้ง ดังนั้นเมื่ออีเมลนี้ถูกใช้ไปแล้ว ก็จะไม่ถูกนำมาใช้อีกในครั้งต่อไป นี่เป็นเหตุผลที่ spammer ไม่โดนบล็อกอีเมลหรือโดนขึ้นอีเมลแบล็คลิสต์

ภาพที่ 3 ประเทศที่ส่งสแปม Necurs มากที่สุด
ภาพจาก IBM X-Force

หลังจากที่จัดการกับ botnet Andromeda และ Avalanche ตอนนี้ Necurs อาจเป็นสแปมที่ใหญ่ที่สุดสำหรับปัญหาอาชญกรรมบนโลกไซเบอร์ ทาง IBM X-Force พยายามที่จะติดตาม Necurs ซึ่งในตอนนี้ถือว่า botnet นี้เป็นอาชญากรรมบนโลกไซเบอร์ที่ดึงดูดทั้ง spammer ระดับล่าง และกลุ่มที่พยายามจะแพร่กระจายมัลแวร์

ไม่ว่าจะทั้ง Necurs หรือ botnet อื่นๆ ต่างมีเป้าหมายเดียวกันคือ ต้องการส่งข้อสแปมไปยัง Mailbox ของผู้รับที่ไม่ได้ตั้งค่ากรองหรือ Block สแปมอีเมลไว้ botnet เหล่านี้มักจะมีการปรับเปลี่ยนวิธีการ เปลี่ยนชนิดของสแปม อีกทั้งยังมีการคิดค้นวิธีการใหม่ๆ เพื่อปกปิดในรูปแบบไฟล์ชนิดต่างๆ รวมไปถึงอีเมล ดังที่เห็นได้จาก Necurs ที่พยายามหาทางเพื่อที่จะข้ามผ่านการกรอง หรือการ block ไปสู่ใน mailbox ของผู้รับให้ได้ ดังนั้นวิธีการที่ดีที่สุดในการป้องกันอีเมลที่หลอกลวงก็คือ ผู้ใช้ไม่ควรเปิดหรือตอบกลับอีเมลที่คิดว่าไม่ปลอดภัย สำหรับตำแนะนำเพิ่มเติมสามารถดูเพิ่มเติมได้ที่ การป้องกันมัลแวร์

ที่มา : Security Intelligence