พบโค้ดมัลแวร์ที่ซ่อนไว้ใน Memes บนโพสต์ Twitter

นักวิจัยจาก Trend Micro ได้พบมัลแวร์ฝังตัวซ่อนไว้ใน Memes (Meme อ่านว่า มีม เป็นเรื่องตลกที่แพร่กระจายบนโซเซียลเน็ตเวิร์ค อาจจะเป็นคลิปวิดีโอ คำพูด วลี รูปภาพ เป็นต้น) บนโพสต์ Twitter แฮกเกอร์จะใช้มัลแวร์นี้เพื่อเข้าถึง และขโมยข้อมูลบัญชีผู้ใช้ได้

มัลแวร์ประเภทนี้ถูกสร้างขึ้นในปี 2560 ซึ่งการทำงานของมันไม่ต่างอะไรจากโทรจัน (RAT) ซึ่งมีหลักการทำงานคือ ขั้นแรกจะทำการโจมตีทำให้เครื่องของเหยื่อติดเชื้อ RAT โดยจะระบุเป็น TROJAN.MSIL.BERBOMTHUM.AA จากนั้น มัลแวร์จะรับคำสั่งจากบัญชีผู้ใช้ Twitter เพียงบัญชีเดียวจากนั้น แฮกเกอร์จะสามารถเข้าควบคุมบัญชีนั้นได้ทันที

มัลแวร์ที่เกิดขึ้นในครั้งนี้ถูกค้นพบเมื่อกลางเดือนพฤศจิกายนที่ผ่านมาและได้มีการเผยแพร่ผลการวิจัยเมื่อวันศุกร์ที่ผ่านมา โดยนักวิจัยจาก Trend Micro

นักวิจัยพบว่า มัลแวร์โทรจัน RAT นี้จะใช้วิธีการอำพรางข้อมูล (steganography) เพื่อส่งคำสั่งไปยังโปรแกรมมัลแวร์ โดยใช้ Twitter เป็นฉากบังในการเชื่อมต่อกับเซิร์ฟเวอร์ที่เป็นอันตรายทำให้ไม่สามารถตรวจพบมัลแวร์นี้ได้

เมื่อมีการโพสต์ Meme ประเภทรูปภาพลงบน Twitter มัลแวร์จะทำการวิเคราะห์แยกเนื้อหาที่เป็นอันตรายบนบัญชี Twitter จากนั้นจะทำการมองหารูปภาพที่ประกอบด้วยโค้ด“” บนบัญชี Twitter นั้น

ที่มาภาพ: Thread Post

ภายในโค้ดจะมีคำสั่ง “/print” ซึ่งจะสั่งให้มัลแวร์ทำการจับภาพหน้าจอคอมพิวเตอร์ของเครื่องที่ติดมัลแวร์ ภาพนั้นจะถูกส่งไปยังเซิร์ฟเวอร์ C&C (Command and Control) ผ่านทาง URL ที่เขียนแบบ hard-coded บน pastebin.com

นักวิจัยออกมาเตือนว่า ในตอนนี้พบว่า ภาพ Meme ที่เป็นมัลแวร์นั้นจะประกอบไปด้วยคำสั่ง executable ( ไฟล์ที่บรรจุโปรแกรม เป็นไฟล์เฉพาะประเภทหนึ่งที่สามารถได้รับการประมวลผลหรือเรียกใช้เป็นโปรแกรมในเครื่องคอมพิวเตอร์หรือระบบปฏิบัติการ) 5 คำสั่ง ยกตัวอย่างเช่น “/clip” เพื่อดูข้อความที่คัดลอกไปยังคลิปบอร์ดของผู้ใช้ หรือ “/processes” เพื่อใช้ค้นหาว่าบนเครื่องผู้ใช้มีโปรแกรมอะไรบ้างที่กำลังทำงานอยู่

ตามรายงานของ Trend Micro ในขณะนี้ทาง Twitter ได้ปิดบัญชีที่มีปัญหาไปเมื่อวันที่ 13 ธันวาคมที่ผ่านมานี้แล้ว แต่จากที่นักวิจัยทำการสังเกตตรวจพบเพียง 2 โพสต์เท่านั้นที่เป็นมัลแวร์ ซึ่งโพสต์ไว้เมื่อวันที่ 25 และ 26 ตุลาคม

ถึงตอนนี้นักวิจัยยังไม่อาจพบว่า แฮกเกอร์ที่ทำนี้คือใคร และทำเพื่ออะไร แต่ที่มีข้อบ่งชี้ที่ระบุได้ว่า นี่อาจเป็นการทดสอบ เพราะตำแหน่งการวาง หรือ “paste” นั้นชี้ไปที่ local address ซึ่งเป็นข้อบ่งชี้ที่แสดงให้เห็นว่าแฮกเกอร์เพียงแค่จะทำการทดสอบเท่านั้น

สำหรับทาง Twitter นั้นได้ทำการแจ้งเตือนไปยังผู้ที่ได้รับผลกระทบนี้แล้ว และจะทำการประกาศให้ทราบในกรณีที่มีผลกระทบกับบัญชีผู้ใช้ที่ไม่สามารถระบุตัวตนได้ ซึ่งทาง Twitter ได้ออกมาโพสต์เกี่ยวกับช่องโหว่ที่เกิดขึ้นนี้เมื่อวันจันทร์ที่ผ่านมา โดยสามารถติดตามดูรายละเอียดได้ที่ Twitter Help Center

ที่มา : Thread Post, The Hacker News