ระวังอัปเดต Windows 11 ปลอม พลาดปุ๊บ โดนมัลแวร์ขโมยข้อมูล

ระวังอัปเดต Windows 11 ปลอม พลาดปุ๊บ โดนมัลแวร์ขโมยข้อมูล

ทันที

Windows 11 นั้นมักจะมีชื่อเสียงที่ฉาวโฉ่เกี่ยวกับการอัปเดตเสมอ เพราะมักจะมาพร้อมกับบั๊ก (Bug) ใหม่ ๆ แทบจะทุกครั้ง แต่ครั้งนี้กลับไปไกลกว่านั้นเพราะแฮกเกอร์ได้ฉวยโอกาส แพร่มัลแวร์ด้วยการใช้อัปเดตปลอม ของ Windows 11

จากรายงานโดยเว็บไซต์ Techloy ได้กล่าวถึงการตรวจพบแคมเปญแพร่กระจายมัลแวร์ที่ไม่ถูกระบุชื่อ แต่จากการทำงาน คาดว่าเป็นมัลแวร์ประเภทขโมยข้อมูลจากเหยื่อ หรือ Infostealer ด้วยการปลอมตัวเป็นอัปเดตของ Windows 11 24H2 ซึ่งแฮกเกอร์นั้นจะสร้างเว็บไซต์ปลอมที่อ้างตัวเองเป็นหน้าสนับสนุนลูกค้า (Support) ของไมโครซอฟท์ โดยหน้าเพจจะบอกให้เหยื่อที่หลงเข้ามาทำการติดตั้งตัวอัปเดตรวม (Culmulative Update) ที่มีให้ดาวน์โหลดภายใต้ชื่อไฟล์ว่า WindowsUpdate 1.0.0.msi ซึ่งตัวไฟล์นั้นมีการปลอมข้อมูลหลายอย่าง เช่น การเปลี่ยนค่า Metadata ให้เหมือนกับไฟล์นี้มาจากทางไมโครซอฟท์จริง ๆ

แต่พอติดตั้ง ก็จะนำไปสู่ห่วงโซ่ (Chain) ของการรันสคริปท์ และเครื่องมือ (Tools) ต่าง ๆ ที่อยู่บน Windows อยู่แล้ว ซึ่งขั้นตอนนี้จะนำไปสู่การวางไฟล์มัลแวร์ลงไปยังโฟลเดอร์ AppData แล้วทำการรันด้วยการใช้งานเครื่องมือรันสคริปท์ที่มีอยู่แล้วใน Windows ชื่อว่า cscript.exe ในขั้นต่อมามัลแวร์จะทำการโหลดสภาพแวดล้อม (Environment) ของ Python ปลอมขึ้นมาเพื่อดึงส่วนเสริมในรูปแบบโมดูล (Module) ซึ่งส่วนเสริมเหล่านี้จะทำหน้าที่ในการขโมยข้อมูลต่อไป โดยเป้าในการขโมยข้อมูลนั้นจะมุ่งหน้าไปยังข้อมูลที่อยู่ภายในเว็บเบราว์เซอร์ และ แพลตฟอร์มรับส่งข้อความ (Messenger) ซึ่งประเภทของข้อมูลนั้นจะครอบคลุมทั้งรหัสผ่าน (Password) ที่ถูกบันทึกไว้บนเบราว์เซอร์, ไฟล์ Authentication Cookies ซึ่งเกี่ยวข้องกับการยืนยันตัวตน และไฟล์ Session ที่เกี่ยวข้องกับการใช้งานบัญชีต่าง ๆ นอกจากนั้นข้อมูลต่าง ๆ ที่มีความเกี่ยวข้องกับการใช้งานแอปพลิเคชันแชท Discord ยังตกเป็นเป้าหมายด้วย

ตัวมัลแวร์เองยังมีการสร้างความคงทนบนระบบ (Persistent) ด้วยการสร้างรีจิสทรี (Registry Entry) ชื่อว่า SecurityHealth แล้วทำการวางไฟล์ทางลัด (Shortcut) ไว้ในโฟลเดอร์ Startup ภายใต้ชื่อ Spotify.lnk เพื่อรับประกันว่ามัลแวร์จะถูกรันขึ้นมาใหม่ทุกครั้งที่มีการรีบูทเครื่องขึ้นมาใหม่