แคมเปญ Malvertising รูปแบบใหม่ที่มีความซับซ้อน ได้เกิดขึ้นโดยใช้ประโยชน์จากโฆษณาแบบชำระเงินของ Facebook เพื่อหลอกล่อผู้ใช้ให้ตกเป็นเหยื่อของการหลอกลวงด้านเทคนิค (Tech Support Scam – TSS) การโจมตีนี้ประกอบด้วย 3 ขั้นตอน เริ่มจากโฆษณาบน Facebook นำผู้ใช้ไปยังเว็บไซต์หลอกลวงที่ปลอมเป็นร้านอาหารอิตาเลียนเพื่อหลีกเลี่ยงการตรวจจับ จากนั้นจึงเปลี่ยนเส้นทางไปยังหน้า Landing Page ที่เป็นอันตราย ซึ่งโฮสต์อยู่บนโครงสร้างพื้นฐานคลาวด์ของ Microsoft Azure แคมเปญนี้พุ่งเป้าไปที่ผู้ใช้ในสหรัฐอเมริกา และมีการหมุนเวียนโดเมนกว่า 100 แห่งภายใน 7 วัน โดยมีการดำเนินการหลักในวันธรรมดา เพื่อใช้ประโยชน์จากความน่าเชื่อถือของแพลตฟอร์มที่ถูกกฎหมายและหลีกเลี่ยงการถูกขึ้นบัญชีดำ
Severity: สูง
System Impact:
- ผู้ใช้ Facebook ที่เป็นเหยื่อ (เป้าหมายหลักคือผู้ใช้ในสหรัฐอเมริกา)
- แพลตฟอร์มโฆษณาแบบชำระเงินของ Facebook (ถูกใช้ในการเผยแพร่โฆษณาที่เป็นอันตราย)
- โครงสร้างพื้นฐานคลาวด์ของ Microsoft Azure (ถูกใช้ในการโฮสต์หน้า Landing Page ที่เป็นอันตราย)
Technical Attack Steps:
- ขั้นตอนที่ 1: ผู้โจมตีเผยแพร่โฆษณาที่เป็นอันตรายบนแพลตฟอร์มโฆษณาแบบชำระเงินของ Facebook
- ขั้นตอนที่ 2: เมื่อผู้ใช้คลิกโฆษณา ระบบจะเปลี่ยนเส้นทางไปยังเว็บไซต์ลวง (Decoy Website) ที่สร้างขึ้นเพื่อปลอมแปลงเป็นหน้าเว็บร้านอาหารอิตาเลียนเพื่อหลีกเลี่ยงการตรวจจับอัตโนมัติ
- ขั้นตอนที่ 3: หลังจากผ่านการกรองแล้ว ผู้ใช้จะถูกเปลี่ยนเส้นทางอีกครั้งไปยังหน้า Landing Page ที่เป็นอันตราย ซึ่งโฮสต์อยู่บนโครงสร้างพื้นฐานคลาวด์ของ Microsoft Azure (เช่น *.web.core.windows.net)
- ขั้นตอนที่ 4: หน้า Landing Page ที่เป็นอันตรายจะแสดงข้อความเตือนระบบปลอม เพื่อหลอกให้เหยื่อเชื่อว่าอุปกรณ์ถูกบุกรุกและกระตุ้นให้ติดต่อสายด่วนสนับสนุนทางเทคนิคปลอม
Recommendations:
Short Term:
- ใช้ความระมัดระวังอย่างยิ่งเมื่อคลิกโฆษณาบนโซเชียลมีเดีย
- ตรวจสอบปลายทางของ URL ก่อนโต้ตอบกับเนื้อหาใดๆ
- ระมัดระวังการเปลี่ยนเส้นทางที่ไม่คาดคิด
- ทีมรักษาความปลอดภัยควรบล็อก Indicators of Compromise (IOCs) ที่ระบุได้ทันที
- เฝ้าระวังรูปแบบการรับส่งข้อมูลที่ผิดปกติที่เกี่ยวข้องกับโดเมนย่อยของ Azure
Long Term:
Source: https://cybersecuritynews.com/new-3-step-malvertising-chain-abusing-facebook-paid-ads/
Share this content: