19 กุมภาพันธ์ 2567 | ภาณุพงศ์ ศรีวงษ์รักษ์
การเพิ่มขึ้นของภัยคุกคามในภูมิภาคเอเชียแปซิฟิก ทีม Group-IB Fraud Protection ได้มีการระบุมัลแวร์ใหม่ชื่อ GoldDiggerPlus ซึ่งเป็นตัวแปรของโทรจันที่ทำการลบรายชื่อเป้าหมายแอปพลิเคชัน และมีเว็บไซต์ปลอม 10 รายการ ในมัลแวร์ GoldKefu ซึ่งทำให้กิจกรรมทางอาชญากรรมมีประสิทธิภาพมากขึ้น นอกจากนี้ การวิเคราะห์ข้อมูลก่อนหน้านี้ของ Group-IB พบว่ามัลแวร์ GoldDigger กำลังขยายไปยังประเทศอื่นในเอเชียแปซิฟิก ซึ่งถูกพิสูจน์แล้ว เมื่อพบตัวแปรมัลแวร์ใหม่มีเป้าหมายผู้ใช้งาน iOS ในไทยชื่อ GoldPickaxe.iOS และในแอนดรอยด์เวอร์ชั่นชื่อ GoldPickaxe.Android ทั้งหมดนี้ได้รับการระบุและตั้งชื่อโดย Group-IB. โดยรวมแล้วพบว่าตระกูลโทรจันสี่ตระกูลอาชญากรไซเบอร์ใช้ ยังคงชื่อเดิมโดยใช้คำนำหน้าว่า Gold โดยมัลแวร์ที่เพิ่งถูกค้นพบนั้นเป็นสัญลักษณ์แทนว่าได้รับการพัฒนาโดยผู้คุกคามเดียวกัน
วิธีการที่กลุ่ม GoldFactory ใช้ในการโจมตีโทรศัพท์ของเหยื่อ โดยมีการใช้เทคนิคการโจมตีผ่าน smishing และ phishing และมีการค้นพบการใช้เครื่องมือของกลุ่มนี้ในประเทศเวียดนามและไทย โดยมีการสันนิษฐานว่านักพัฒนามีการใช้ภาษาจีน และมีการใช้ภาษาท้องถิ่นเพื่อสร้างความเชื่อมั่นและไว้วางใจกับเหยื่อ ตัวอย่างการโจมตีที่พบ ได้แก่ SMS ที่เขียนเป็นภาษาไทย ซึ่งหลักฐานนี้ชี้ให้เห็นถึงการมีอยู่ของกลุ่มอาชญากรไซเบอร์ที่หลากหลายซึ่งประกอบด้วยบุคคลจากประเทศต่างๆ หรือการใช้บริการในพื้นที่เพื่อกระจาย malware การโจมตีของกลุ่มนี้มักเกิดขึ้นในลักษณะเดียวกันกับ Trojan อื่นๆ ในครอบครัว GoldFactory ซึ่งในไทย มีการใช้เทคนิคการปลอมตัวเป็นเจ้าหน้าที่รัฐบาลและใช้ LINE ในการสื่อสารกับเหยื่อ โดยมีการเพิ่มเพื่อนก่อนเริ่มสนทนา.
TB-CERT รายงานว่ามีการกระจายลิงก์อันตรายผ่านแอปพลิเคชั่นส่งข้อความ, หลอกให้ผู้ใช้ติดตั้งแอป ‘Digital Pension’ ปลอมเพื่อรับเงินบำนาญทางดิจิทัล. เพื่อนำข้อมูลส่วนตัวที่น่าเชื่อถือของเหยื่อมาใช้ เพื่อเพิ่มความน่าเชื่อถือในการหลอกลวงโดย Group-IB ยืนยันว่า GoldPickaxe, หลายเวอร์ชัน ซึ่งทั้งหมดมีฟังก์ชันการทํางานเหมือนกัน และสามารถปลอมตัวเป็นหน่วยงานราชการไทย โดยมีแนวโน้มจากแคมเปญที่เป็นอันตรายของ GoldFactory เกี่ยวข้องกับการเลียนแบบแอปพลิเคชันของรัฐบาลที่ถูกต้องตามกฎหมาย เช่น Digital Pension for Thailand และบริการอื่นๆ ของรัฐบาลไทย เป็นที่น่าสังเกตว่าแอปพลิเคชันอื่น ๆ ที่ GoldPickaxe แอบอ้างนั้นทับซ้อนระหว่างมัลแวร์ Gigabud อธิบายโดยนักวิจัย Group-IB ในเดือนสิงหาคม 2566
จากข้อมูลก่อนหน้านี้ Malware GoldDigger กำลังแพร่กระจายผ่านเว็บไซต์ปลอมตัวเป็นหน้า Google Play Store หรือเว็บไซต์บริษัทปลอมในประเทศเวียดนามเพื่อติดตั้งลงในอุปกรณ์ของเหยื่อ Malware GoldDiggerPlus และ GoldPickaxe.Android ก็มีการแพร่กระจายโดยใช้เทคนิคที่คล้ายกันนอกจากนี้ ยังมีการใช้ Mobile Device Management (MDM) ซึ่งเป็นระบบจัดการอุปกรณ์เคลื่อนที่ของ Apple เพื่อกระจายมัลแวร์ GoldFactory ใช้วิธีนี้ร่วมกับการสร้างเว็บไซต์ปลอมเพื่อหลอกให้ผู้ใช้ติดตั้งโปรไฟล์ MDM ปลอม ซึ่งถ้าทำสำเร็จจะทำให้ผู้โจมตีสามารถควบคุมอุปกรณ์ของเหยื่อได้อย่างสมบูรณ์ ความเชื่อของผู้ใช้ที่มีต่อ URL ที่ดูเหมือนมาจาก Apple ทำให้พวกเขาเชื่อถือและติดตั้งซอฟต์แวร์ที่อาจเป็นอันตรายได้ง่ายขึ้น
เพื่อต่อสู้กับการกลโกง ประเทศไทยได้นำนโยบายใหม่มาใช้ ซึ่งใช้การจดจำใบหน้าเพื่อยืนยันธุรกรรมขนาดใหญ่. แต่อย่างไรก็ตาม GoldFactory และ GoldPickaxe ได้เรียนรู้วิธีหลีกเลี่ยงมาตรการเหล่านี้. GoldPickaxe ไม่ทำธุรกรรมที่ไม่ได้รับอนุญาตโดยตรง แต่จะรวบรวมข้อมูลที่จำเป็นจากเหยื่อเพื่อเข้าถึงบัญชีธนาคารของพวกเขา. การใช้ระบบจดจำใบหน้าและความสามารถของ GoldPickaxe ในการดักฟัง SMS โดยรวบรวมข้อมูลส่วนบุคคล ทำให้คนร้ายสามารถเข้าถึงบัญชีธนาคารของเหยื่อได้.
สำหรับสถาบันทางการเงิน
สำหรับผู้ใช้งานทั่วไป
สัญญาณเตือนว่าโทรศัพท์ของคุณอาจจะติดมัลแวร์
Group-IB uncovers the first iOS Trojan harvesting facial recognition data used for unauthorized access to bank accounts. | Group-IB
เกี่ยวกับไซเบอร์ตรอน
ผู้ให้บริการ #CyberResilience ศูนย์เฝ้าระวังภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์รูปแบบใหม่ พร้อมโซลูชั่นเพื่อการพัฒนาความสามารถด้วยแพลตฟอร์มการจำลองยุทธ์ด้านความมั่นคงปลอดภัยไซเบอร์ อีกทั้งยังเป็นผู้นำการให้บริการนวัตกรรมด้านความมั่นคงปลอดภัยไซเบอร์ที่ล้ำสมัยในระดับสากล
บริการของเรา
