หลุมพรางมัลแวร์บน Microsoft Office

โดยช่วงเดือนเม.ย.ที่ผ่านมา เราได้ยินข่าว “ไมโครซอฟท์” ออกมาแพทช์เพื่อแก้ไขช่องโหว่ที่ชื่อว่า CVE-2017-0199 บน Microsoft Office ซึ่งแฮกเกอร์ใช้ช่องโหว่นั้นปล่อยมัลแวร์ที่หลอกให้เหยื่อเปิดไฟล์เอกสารต่างๆ ที่แฝงมัลแวร์นั้น 

เมื่อเหยื่อหลงกลเปิดไฟล์ มัลแวร์จะถูกดาวน์โหลดและติดตัวในเครื่องเหยื่อ ซึ่งโปรแกรมที่โดนเล่นงานคือ Microsoft Word ที่จะถูกส่งมาทางอีเมล 

หลังจากนั้นเมื่อไม่นานมานี้ทางสำนักวิจัยของเทรนด์ ไมโคร ได้พบการโจมตีช่องโหว่ CVE-2017-0199 อีกครั้งโดยครั้งนี้โปรแกรมที่มีผลกระทบคือ Microsoft PowerPoint ซึ่งแฮกเกอร์ได้เจาะผ่านช่องโหว่ โดยส่งมัลแวร์ผ่านไฟล์ประเภท PPSX ผ่านทางอีเมลโดยวิธีหลอกเหยื่อเช่นเดิมคือ ส่งไฟล์ที่แฝงมาทางอีเมลที่น่าเชื่อถือแล้วหลอกให้เหยื่อกดเปิด ซึ่งการใช้ไฟล์ PPSX ทำให้ยากต่อการตรวจจับเพราะโปรแกรมป้องกันไวรัสส่วนใหญ่จะโฟกัสไปที่ไฟล์ประเภท RTF ที่ถูกแฮกเกอร์ใช้ส่งมัลแวร์เมื่อเดือนเม.ย.

ทางนักวิจัยของเทรนด์ ไมโคร ระบุว่าการโจมตีของมัลแวร์ตัวใหม่นี้เป็นการโจมตีแบบสเปียร์ ฟิชชิ่ง (Spear-Phishing) หรือการโจมตีแบบฟิชชิ่ง (Phishing) ที่พุ่งเป้าชัดเจน

โดยพุ่งเป้าโจมตีตั้งแต่กลุ่มบริษัทเคเบิล ไปจนถึงกลุ่มอุตสาหกรรมอิเล็กทรอนิกส์และกลุ่มอุตสาหกรรมที่เกี่ยวข้อง ซึ่งเป็นเป้าหมายส่วนใหญ่

ที่จริงแล้วนี้ไม่ใช่ครั้งแรกที่ Microsoft PowerPoint ตกเป็นเป้าการโจมตี ย้อนกลับไปเมื่อเดือนมิ.ย. ได้มีนักวิจัยออกมาแจ้งข่าวถึงมัลแวร์ตัวใหม่บน Microsoft PowerPoint ที่แค่เพียงลากเมาส์ผ่านลิงค์ URL ใน PowerPoint สามารถติดมัลแวร์ได้แล้ว 

โดยแฮกเกอร์ใช้ไฟล์ประเภท PPSX ส่งผ่านทางอีเมล และซึ่งเมื่อคลิกเปิดจะเข้าสู่ View Mode และแสดงลิงค์ URL ว่า Loading…Please wait เมื่อเราลากเมาส์ผ่าน คำสั่ง PowerShell (ชุดคำสั่ง Command Line มีลักษณะการทำงานคล้าย DoS) จะเริ่มต้นโหลดมัลแวร์ทันที

สุดท้ายแล้วความปลอดภัยต่างๆ ขึ้นอยู่กับผู้ใช้งานเองที่ต้องระมัดระวังและหมั่นอัพเดทแพทช์ของโปรแกรมต่างๆ รวมถึงการมีสติรอบครอบในการเปิดอ่านอีเมลต่างๆอยู่เสมอ นอกจากนั้น คือการสำรองข้อมูลสำคัญเป็นประจำ เพราะเราไม่มีทางรู้เลยว่าตกเป็นเหยื่อของแฮกเกอร์วายร้ายเหล่านี้เมื่อไหร่