Meta ลบบัญชี Instagram ของเครือข่ายขนาดใหญ่ที่ใช้ในการขู่กรรโชกทางเพศกว่า 63,000 บัญชี

    Meta ได้ทำการลบ Account ผู้ใช้งานกว่า 63,000 Account จากไนจีเรียที่พบว่ามีส่วนเกี่ยวข้องกับการขู่กรรโชกทางเพศ โดยรวมไปถึงความเกี่ยวข้องกับAccountผู้ประสานงานกว่า 2,500 Account ที่เชื่อมโยงไปยัง 20 บุคคลซึ่งส่วนใหญ่เป็นชายวัยกลางคนในสหรัฐฯ

    โดย Instagram ระบุว่า Account ดังกล่าวมีส่วนเกี่ยวข้องกับองค์กรของกลุ่มผู้ก่ออาชญากรรมทางไซเบอร์ ชื่อ ‘Yahoo Boys’ ซึ่งได้ดำเนินการขยายฐานปฏิบัติการเมื่อไม่นานมานี้ นอกเหนือจากการกวาดล้าง Account ผู้ใช้งาน Instagram ทาง Meta ได้ลบ Account ผู้ใช้งาน Facebook กว่า 1,300 Account, Page Facebook กว่า 200 pages และกลุ่ม Facebook กว่า 5,700 กลุ่มที่มีฐานอยู่ในประเทศไนจีเรีย ซึ่งถูกใช้เพื่อดำเนินการปฏิบัติการการหลอกลวงในรูปแบบต่าง ๆ

   ทาง Meta ยังมีการใช้มาตรการในการป้องกันแบบอัตโนมัติหากทางมิจฉาชีพพยายามสร้าง Account ผู้ใช้งานใหม่บนแพลตฟอร์ม Social media หลังจากถูกลบ Account ไปแล้ว

    กลุ่มผู้ไม่ประสงค์ดีที่หลอกลวงเหยื่อเพื่อขู่กรรโชกทางเพศคืออีกรูปแบบหนึ่งของการก่ออาชญากรรมทางไซเบอร์ โดยทางมิจฉาชีพจะบีบบังคับให้เหยื่อส่งภาพ หรือวิดิโอเปลือยเพื่อนำมาข่มขู่ว่าจะเปิดเผยต่อสาธารณะหากไม่จ่ายค่าไถ่ หรือส่งภาพ หรือวิดิโอเพิ่มเติม

    กลุ่มผู้ไม่ประสงค์ดีเหล่านี้ จะดำเนินการโดยอาศัยการแอบอ้างตัวตนที่ปลอมแปลงขึ้นมา โดยจะพยายามเข้าถึงถึงเหยื่อในเชิงชู้สาวเพื่อสร้างความสัมพันธ์ และสร้างความเชื่อใจ โดยหลังจากนั้นมิจฉาชีพจะพยายามโน้มน้าวให้เหยื่อส่งรูปภาพ หรือคลิปวิดิโอลับ ซึ่งหากเหยื่อหลงเชื่อส่งไป ทางมิจฉาชีพจะนำรูป หรือคลิปที่ได้มาข่มขู่ว่าจะเผยแพร่ข้อมูลดังกล่าวกับเพื่อนของเหยื่อ ครอบครัวของเหยื่อ หรือแม้กระทั่งสาธารณะถ้าหากเหยื่อไม่จ่ายเงิน

    กลุ่มผู้ไม่ประสงค์ดีที่หลอกลวงเหยื่อเพื่อขู่กรรโชกทางเพศสามารถสร้างความเสียหายอย่างร้ายแรง และมีผลระยะยาวต่อเหยื่อ ดังนั้นแพลตฟอร์ม Social media ที่ถูกใช้เป็นเครื่องมือของการก่ออาชญากรรมนี้ จึงต้องทำงานอย่างหนักในการระบุตัวตนของมิจฉาชีพ และลบAccountดังกล่าว

Meta ระบุว่า ความสำเร็จครั้งนี้ดีขึ้นกว่าเดิมจากการเพิ่มการสืบสวนสอบสวนโดยใช้บุคคลจริง พร้อมกับการใช้งานข้อมูลสัญญาณเทคนิคใหม่ซึ่งสามารถระบุการกระทำที่ต้องสงสัยได้ดียิ่งขึ้น

ระบบป้องกันของ Meta และมาตรการต่อต้านการขู่กรรโชก :

• ป้องกันภาพเปลือย(เบลออัตโนมัติ) ในการสื่อสารผ่านกล่องข้อความ ซึ่งรวมถึงแชทที่มีการเข้ารหัสจากต้นทางถึงปลายทางด้วย
• เพิ่มความเข้มงวดในการใช้งานแชทกับผู้ใช้งานที่ยังไม่บรรลุนิติภาวะ โดยจะบล็อครายชื่อผู้ติดต่อที่ไม่ต้องการ และดำเนินการแจ้งเตือนเพื่อป้องกันการหลอกลวงที่อาจเกิดขึ้น
• ซ่อนโปรไฟล์ผู้ใช้งานที่ยังไม่บรรลุนิติภาวะจากมิจฉาชีพที่เข้าข่าย หรือซ่อนปุ่ม “ข้อความ”
• ข้อความป๊อปอัปถึงผู้ใช้งานที่มีปฏิสัมพันธ์กับมิจฉาชีพ ซึ่งจะแสดงข้อความให้พวกเขาศึกษาข้อมูลเพิ่มเติม เช่น Stop Sextortion Hub portals
• เปิดเผยข้อมูลAccountที่เกี่ยวข้องกับขบวนการขู่การโชกกับบริษัทเทคโนโลยีอื่น ๆ ผ่านช่องทาง Lantern เพื่อขัดขวางปฏิบัติการต่าง ๆ บนแพลตฟอร์มหลักทั้งหมด

    FBI ได้รายงานเมื่อไม่นานมานี้ว่าการก่ออาชญากรรมในรูปแบบนี้ได้มุ่งเป้าไปที่ชายหนุ่มหลายคนซึ่งพบว่ามีเหยื่อหลายรายหลงเชื่อจำนวนมาก โดยในบางเคสได้ส่งผลให้เหยื่อทำร้ายตัวเอง หรือกระทั่งฆ่าตัวตาย

วิธีการป้องกันหรือเมื่อถูกกรรโชก

    ผู้เสียหายจากการขู่กรรโชกทางเพศ ควรรายงานต่อเจ้าหน้าที่รักษากฏหมายโดยทันที รวมถึงสามารถปรึกษา หรือหาข้อมูลเพิ่มเติมที่เกี่ยวข้องกับการขู่กรรโชกทางเพศ และวิธีการป้องกันจากทาง webpage ได้

Ref: bleepingcomputer

พบ Malware ชื่อว่า Ov3r_Stealer บนโฆษณาของ Facebook

 

        malware ใหม่ที่ชื่อว่า Ov3r_Stealer กำลังแพร่กระจายผ่านโฆษณางานปลอมบน Facebook โดยมีเป้าหมายที่จะขโมยข้อมูลเข้าสู่บัญชีและเงินสกุลดิจิตอล

        โฆษณางานปลอม จะเป็นรูปแบบโฆษณาตำแหน่งงานที่เป็นตำแหน่ง management positions and lead users เมื่อคลิกที่โฆษณาจะลิงก์ผู้ใช้งานไปยัง URL ใน Discord ที่มีสคริปต์ PowerShell ที่ดาวน์โหลดโหลด malware จาก GitHub

        โดยที่นักวิเคราะห์จาก Trustwave บอกถึงการทำงาน malware ไม่ใช่รูปแบบเทคนิคใหม่ ๆ แต่ก็ยังเป็นภัยอันตรายต่อผู้ใช้งานมากมายเนื่องจากอยู่บน platform social network (facebook)

รูปแบบโฆษณาของ malware Ov3r_Stealer ที่ใช้งาน

        เหยื่อจะถูกดึงดูดผ่านโฆษณางานบน Facebook ที่เชิญชวนให้พวกเขาสมัครงานเป็นตำแหน่งผู้จัดการบัญชีในโฆษณา

        โฆษณาจะลิงก์ไปยังไฟล์ PDF ที่ Host บน OneDrive ที่เหมาะสมกับรายละเอียดงาน แต่การคลิกที่มันจะเรียกใช้การเปลี่ยนเส้นทาง Content delivery network (CDN) ของ Discord ที่ดาวน์โหลดไฟล์ชื่อ pdf2.cpl

        ไฟล์จะถูกปลอมให้ดูเหมือนเอกสาร DocumentSign แต่ในความเป็นจริงเป็นไฟล์ PowerShell ที่จะทำการ รัน Script เพื่อแฝงตัวฝังไว้ที่อุปกรณ์

    รูปแบบไฟล์ของ malware มี 4 รูปแบบ ได้แก่

        ไฟล์ Control Panel (CPL) ที่สามารถรัน Script PowerShell เพื่อ Remote จากระยะไกล
        ไฟล์ HTML ที่ถูกใส่รหัส base64 สำหรับ ZIP ที่มี malware หรือ ไฟล์ที่เป็นอันตรายอยู่ข้างใน
        ไฟล์ LNK ที่ถูกปลอมให้ดูเหมือนไฟล์ข้อความแต่ในความเป็นจริงมันเป็นลิงก์ดาวน์โหลด
        ไฟล์ SVG ที่มีการใส่ .RAR มีอยู่แล้ว (SVG smuggling)

        นอกจากนี้ยังมีไฟล์ WerFaultSecure.exe ที่ใช้ติดตั้ง ไฟล์ DLL ที่ใช้สำหรับโหลด DLL ชื่อ Wer.dll เอกสารที่มีการเขารหัสที่เป็นอันตรายชื่อ Secure.pdf

        Trustwave ได้แจ้งว่าหลังจากถูกโจมตีจาก malware   จะทำการรันคำสั่งเพิ่มไฟล์ที่ใช้ในการโจมตีชื่อว่า Licensing2 ไฟล์ถูกกำหนดให้ทำงานในเครื่องทุก ๆ 90 นาที           

การขโมยข้อมูลจากแหล่งข้อมูลอื่น ๆ

        Ov3r_Stealer พยายามขโมยข้อมูลจากแอปต่าง ๆ รวมถึงแอปกระเป๋าเงินดิจิตอล, บราวเซอร์เว็บ, ส่วนขยายบราวเซอร์, Discord, Filezilla และอื่น ๆ

        นอกจากนี้ malware ยังรวมถึงข้อมูลจากการตั้งค่าต่าง ๆ บน windows และด้านล่างนี้คือรายการแบบเต็มของแอปพลิเคชันและไดเรกทอรีที่ Ov3r_Stealer ตรวจสอบเพื่อรายการที่มีค่าที่สามารถนำออกได้

        

        malware นี้จะเก็บข้อมูลที่พบบนคอมพิวเตอร์ที่ถูกฝังตัวไว้ทุก ๆ 90 นาทีและส่งข้อมูลไปยังบอทของ Telegram ซึ่งรวมถึงข้อมูลตำแหน่งของเหยื่อ

ต้นกำเนิดของ Ov3r_Stealer

        Trustwave พบลิงก์ที่ส่งผ่านทาง Telegram ส่งไปยังชื่อผู้ใช้งานเฉพาะที่ปรากฏในฟอรัมที่เกี่ยวข้องกับการsoftware cracking และช่องทางที่เกี่ยวข้อง

        นอกจากนี้ นักวิจัยพบความคล้ายคลึงในรหัสระหว่าง Ov3r_Stealer และ Phemedrone, ซึ่งเป็นเครื่องมือสำหรับการเรียกขโมยข้อมูลที่เขียนด้วยภาษา C#

        Trustwave รายงานว่าพวกเขาได้ค้นพบวิดีโอสาธารณะที่แสดงการทำงานของ Malware   ซึ่งน่าจะเป็นการพยายามในการดึงดูดผู้ใช้งานที่ตามความสนใจ วิดีโอเถูกโพสต์โดยบัญชีที่ใช้ภาษาเวียดนามและรัสเซีย พร้อมกับการใช้ธงประจำชาติของฝรั่งเศส ดังนั้นสัญชาติของผู้โพสต์ยังระบุไม่ได้

Ref : bleepingcomputer

SYS01stealer แนวการโจมตีรูปแบบใหม่ที่ใช้โฆษณาบน Facebook ในการโจมตี

    นักวิจัยด้านความปลอดภัยพบ Malware ขโมยข้อมูลตัวใหม่ที่ชื่อว่า "SYS01stealer" ซึ่งมีเป้าหมายไปยังพนักงานขององค์กรด้านโครงสร้างพื้นฐานที่สำคัญของรัฐบาล, บริษัทในภาคการผลิต และบริษัทในภาคส่วนอื่น ๆ

  Morphisec รายงานว่า ผู้ไม่ประสงค์ดีที่อยู่เบื้องหลังการโจมตีนี้จะมุ่งเป้าไปที่ Business accounts บน Facebook โดยการใช้ Google ads และโปรไฟล์ Facebook ปลอม ที่โปรโมตสิ่งต่าง ๆ เช่น เกมส์, เนื้อหาสำหรับผู้ใหญ่, และซอร์ฟแวร์ละเมิดลิขสิทธิ์ เพื่อหลอกล่อเหยื่อให้ดาวน์โหลดไฟล์ที่เป็นอันตราย

การโจมตีนี้ถูกออกแบบมาเพื่อขโมยข้อมูลที่สำคัญ เช่น ข้อมูลการเข้าสู่ระบบ, คุกกี้, ข้อมูลของ Facebook ad และข้อมูลบัญชีธุรกิจโดย Morphisec ระบุว่า การโจมตีนี้เริ่มต้นจากการดำเนินการของกลุ่มผู้ไม่ประสงค์ดีที่มีแรงจูงใจทางด้านการเงินที่ชื่อว่า Ducktail

    WithSecure เคยรายงานปฏิบัติการของกลุ่ม Ducktail เป็นครั้งแรกในเดือนกรกฎาคม พ.ศ. 2565 ได้ระบุว่า ข้อมูลที่ได้จากการวิเคราะห์การโจมตีทั้ง 2 ครั้งของ Ducktail มีความแตกต่างกัน แสดงให้เห็นว่าผู้ไม่ประสงค์ดีพยายามสร้างความสับสนให้กับนักวิจัยในความพยายามสำหรับการระบุแหล่งที่มา รวมไปถึงความพยายามในการหลบเลี่ยงการตรวจจับ

  Morphisec ระบุว่า การโจมตีเริ่มต้นด้วยการหลอกล่อให้เหยื่อคลิก URL จากโปรไฟล์ หรือโฆษณาบน Facebook เพื่อดาวน์โหลดไฟล์ ZIP ที่อ้างว่าเป็นซอฟต์แวร์ละเมิดลิขสิทธิ์ หรือเนื้อหาสำหรับผู้ใหญ่ การเปิดไฟล์ ZIP จะมีการเรียกใช้งานแอปที่ดูถูกต้องตามปกติ แต่จะใช้วิธีการ DLL side-loading ทำให้สามารถโหลดไฟล์ DLL ที่เป็นอันตรายควบคู่ไปกับแอปปกติได้

  แอปพลิเคชันบางตัวที่ถูกนำมาใช้เพื่อดาวน์โหลด DLL ที่เป็นอันตรายคือ WDSyncService.exe ของ Western Digital และ ElevatedInstaller.exe ของ Garmin โดยสุดท้ายเป้าหมายของผู้ไม่ประสงค์ดีคือการติดตั้ง Malware SYS01stealer

    โดย SYS01stealer ถูกออกแบบมาเพื่อเก็บข้อมูลคุกกี้ของ Facebook จาก Chromium-based web browser (เช่น Google Chrome, Microsoft Edge, Brave, Opera และ Vivaldi) โดยมันจะทำการส่งข้อมูล Facebook ของเหยื่อที่เก็บรวบรวมมาได้ไปยัง C2 Server รวมถึงสามารถดาวน์โหลด หรือทำการรันไฟล์ต่าง ๆ ตามที่ผู้ไม่ประสงค์ดีต้องการได้ และยังสามารถอัปเดตตัวเองเมื่อมีเวอร์ชันใหม่ที่พร้อมใช้งาน

    เหตุการณ์นี้เกิดขึ้นในเวลาใกล้เคียงกับที่ Bitdefender เปิดเผยการโจมตีของ Malware stealer ที่คล้ายกัน ที่รู้จักกันในชื่อ S1deload ซึ่งออกแบบมาเพื่อโจมตีบัญชี Facebook และ YouTube ของผู้ใช้งาน และใช้ประโยชน์จากระบบที่ถูกโจมตีมาทำการขุดเหรียญ cryptocurrency

    Morphisec ระบุว่า DLL side-loading เป็นเทคนิคการโจมตีที่มีประสิทธิภาพสูง เนื่องจากเมื่อแอปพลิเคชันถูกโหลดลงในหน่วยความจำบน Windows System และไม่มีการตรวจสอบลำดับในการค้นหาไฟล์ DLL ในการทำงาน แอปพลิเคชันอาจจะโหลดไฟล์ DLL ที่เป็นอันตราย แทนที่จะเป็นไฟล์ DLL ที่ถูกต้อง

thehackernews

การโจมตีแบบ Phishing ใช้โพสต์บน Facebook เพื่อหลีเลี่ยงการป้องกันจาก E-mail

    พบการใช้ Phishing รูปแบบใหม่ โดยการใช้โพสต์ Facebook เป็นส่วนหนึ่งของการโจมตีเพื่อหลอกให้ผู้ใช้ให้ข้อมูลของบัญชีประจำตัว และข้อมูลที่ระบุตัวบุคคลได้ Personally Identifiable Information (PII) E-mail ที่ส่งไปยังเป้าหมาย จะสร้างสถานะการณ์เป็นแจ้งปัญหาด้านลิขสิทธิ์ โพสต์ใดโพสต์หนึ่งของผู้รับโดยเตือนว่า บัญชีของพวกเขา จะถูกลบใน 48 ชั่วโมง ถ้าไม่ยื่นอุทธรณ์

    โดย Link ที่ให้กดเพื่อ ยื่นอุทธรณ์ในการลบบัญชี จะเป็นโพสต์จริงบน Facebook.com ซึ่งช่วยให้ผู้ไม่ประสงค์ดี สามารถผ่านระบบ การป้องกันของ E-mail และทำให้มั่นใจได้ว่า ข้อความได้ถูกส่งไปยัง กล่องจดหมายของเป้าหมาย โดย โพสต์บน Facebook จะปลอมเป็น “Page Support” โดยใช้ Facebook logo เพื่อให้เห็นราวกับว่าทาง Facebook เป็นผู้จัดการเรื่องจริง ๆ

    อย่างไรก็ตาม ในโพสต์นั้นจะมี Link ไปยังหน้าต่าง Phishing ภายนอกอีกครั้งหนึ่งในชื่อ Meta เป็นเจ้าของบริษัท Facebook เพื่อลดโอกาสที่ เป้าหมายจะตระหนักถึงการโจมตีครั้งนี้ ผู้เชี่ยวชาญ ของ Trustwave ค้นพบว่า การ Phishing นี้พบว่ามี 3 URLs ที่ยังคงออนไลน์อยู่

meta[.]forbusinessuser[.]xyz/?fbclid=123

meta[.]forbusinessuser[.]xyz/main[.]php

meta[.]forbusinessuser[.]xyz/checkpoint[.]php

    เว็ปไซต์ Phishing ที่ถูกสร้างขึ้นมาให้ดูเหมือนกับ Page Facebook แบบถูกลิขสิทธิ์ ซึ่งมีแบบฟอร์ม ที่ให้เหยื่อกรอกข้อมูลชื่อเต็ม, Email, เบอร์มือถือ, ชื่อผู้ใช้

    ขึ้นอยู่กับข้อมูลที่ส่ง และ Page นี้ยังเก็บ IP address ของเหยื่อ และข้อมูลตำแหน่ง และแอบนำเอาทุกอย่าง ไปที่ บัญชี Telegram ที่ผู้ไม่ประสงค์ดีควบคุมอยู่ ผู้ไม่ประสงค์ดี อาจจะเก็บข้อมูลเพิ่ม โดยผ่านการป้องกันแบบลายนิ้วมือ หรือคำถามความปลอดภัย ในขณะที่กำลังยึด บัญชี Facebook ของเหยื่ออยู่ ในขณะเดียวกัน ก็จะนำเหยื่อไปสู่หน้า Phishing หน้าต่อไป โดยจะแสดง ความต้องการรหัสปลอมแบบใช้ครั้งเดียว (OTP) จำนวน 6 หลัก พร้อมจำกัดเวลา

    เมื่อไรก็ตามที่เหยื่อใส่ Code มาจะแจ้งผลเป็น Error และถ้ามีการคลิ๊ก ‘Need another way to authenticate?’ ผู้เชี่ยวชาญ ของ Trustwave พบว่า ผู้ไม่ประสงค์ดีใช้ Goolgle Analytics บนหน้า Phishing เพื่อช่วยให้พวกเขาสามารถติดตาม ประสิทธิภาพการบุกรุกได้ดีขึ้น

เทคนิคที่ใช้เผยแพร่ 

Trustware รายงานว่า ได้พบหลาย บัญชี Facebook ที่กำลังสร้างโพสต์ปลอม เพื่อให้ดูเหมือน Support page ที่จะนำเหยื่อไปยัง Phishing website

    โพสต์เหล่านี้ ใช้ URL shorteners สำหรับ Link ที่เป็น Phishing website เพื่อหลบการตั้งค่าสถานะต่าง ๆ และถูกลบ โดย Social media platform นั้น ๆ เหยื่ออาจเข้าสู่โพสต์ จากทาง Phishing email เหมือนกับในรายงานก่อนหน้านี้หรือ ทางข้อความตอบรับบน Facebook 

วิธีการป้องกัน

• ตรวจสอบ URL ของลิงก์ทุกครั้งในการกรอกข้อมูล รวมถึงไม่กดเข้าลิงก์ที่ไม่น่าเชื่อถือ
• เข้าร่วมการ Training Cybersecurity Awareness เพื่อสร้างความตระหนักถึงภัยคุกคามทางไซเบอร์ และการใช้งาน Social Media

bleepingcomputer

Phishing attack uses Facebook posts to evade email security

พบการโจมตี Phishing รูปแบบใหม่ ใช้โพสต์บน Facebook เพื่อหลีกเลี่ยงการตรวจสอบจาก Email

    พบรูปแบบการโจมตี Phishing รูปแบบใหม่ที่ใช้โพสต์บน Facebook ในการโจมตี เพื่อขโมยข้อมูลบัญชีผู้ใช้งาน Facebook และข้อมูลที่สามารถระบุตัวบุคคลได้ Personally Identifiable Information (PII)

ขั้นตอนการโจมตี

    ภายในเนื้อหาของ Phishing Email ที่ใช้ในการโจมตีจะระบุว่า “พบปัญหาการละเมิดลิขสิทธิ์ในโพสต์บน Facebook หากไม่ยื่นอุทธรณ์ภายใน 48 ชั่วโมง บัญชีนี้จะถูกลบ” พร้อมทั้งแนบลิงก์เพื่ออุทธรณ์การลบบัญชี

    โดยลิงก์ดังกล่าวคือโพสต์ที่มีอยู่จริงบน Facebook.com โดยกระบวนการนี้จะสามารถทำให้หลีกเลี่ยงการตรวจสอบจาก E-mail และทำให้สามารถส่งไปถึงเหยื่อได้โดยตรง

    รูปแบบการโจมตี Phishing นี้ มีการสร้างความน่าเชื่อถือระหว่างกระบวนการโจมตี ไม่ว่าจะเป็นการปลอมแปลงเป็นโพสต์จาก “Facebook Page Support” และการสร้าง URL ที่น่าเชื่อถือจาก meta เพื่อไม่ให้เหยื่อรู้ตัวในระหว่างที่กรอกข้อมูล โดยในแบบฟอร์มขอข้อมูลจะประกอบไปด้วย ชื่อ-นามสกุล, ที่อยู่อีเมล, หมายเลขโทรศัพท์ และชื่อผู้ใช้ใน Facebook

จากการตรวจสอบของ Trustwave พบว่ามี Phishing URL 3 รายการที่ยังออนไลน์อยู่

• meta[.]forbusinessuser[.]xyz/?fbclid=123
• meta[.]forbusinessuser[.]xyz/main[.]php
• meta[.]forbusinessuser[.]xyz/checkpoint[.]php

    เมื่อกรอกข้อมูลลงไปยังลิงก์ Facebook Page Support ปลอมที่ถูกสร้างขึ้นแล้ว ข้อมูลของเหยื่อจะถูกส่งไปยังบัญชี Telegram ของ Hacker โดยที่ผู้โจมตีอาจมีการขอข้อมูลเพิ่มเติมเพื่อ bypass fingerprinting protections หรือคำถามด้านความปลอดภัยในขณะที่เข้าควบคุมบัญชี Facebook ของเหยื่อ จากนั้นก็จะมีการเปลี่ยนเส้นทางไปยังหน้าสำหรับกรอก One-Time Password (OTP) ปลอมเพื่อถ่วงเวลา ซึ่งไม่ว่าเหยื่อจะกรอกรหัสใดก็ตามก็จะขึ้นว่าไม่ถูกต้อง หากเหยื่อกด 'Need another way to Authenticate?' เพื่อออกจากหน้านี้ ก็จะถูกส่งกลับไปยังหน้า Facebook.com ตามปกติ

    Trustwave รายงานว่าพบรูปแบบการโจมตี Phishing ลักษณะเดียวกันนี้อีกมากมายบน Facebook รวมไปถึง Hacker ยังได้ใช้ Google Analytics ในการเพิ่มประสิทธิภาพในการเข้าถึงโพสต์ของรูปแบบการโจมตี Phishing อีกด้วย

วิธีการป้องกัน

• ตรวจสอบ URL ของลิงก์ทุกครั้งในการกรอกข้อมูล รวมถึงไม่กดเข้าลิงก์ที่ไม่น่าเชื่อถือ
• เข้าร่วมการ Training Cybersecurity Awareness เพื่อสร้างความตระหนักถึงภัยคุกคามทางไซเบอร์ และการใช้งาน Social Media

Ref : bleepingcomputer

New PHP information-stealing malware targets Facebook accounts

Malware ใหม่ที่มีความสามารถในการโจมตีที่ PHP โดยมุ้งเป้าไปที่ บัญชีผู้ใช้งาน Facebook

    การโจมตีแบบ Phishing Ducktail ใหม่กำลังส่ง Malware เพื่อไปขโมยข้อมูล Windows แบบไม่เคยมีมาก่อนซึ่งถูกเขียนด้วย PHP เพื่อการขโมยบัญชี Facebook หรือข้อมูลใน Browser และกระเป๋าเงินแบบ Digital

    การโจมตีด้วย Ducktail พบครั้งแรกโดย ผู้เชี่ยวชาญด้านความปลอดภัย Withsecure ในเดือน กรกฎาคม 2022 โดยการโจมตีนี้ เกี่ยวข้องกับผู้ไม่ประสงค์ดีชาวเวียดนามรูปแบบการโจมตีจะอาศัยการใช้ Social Engineering ผ่านทาง LinkedIn โดยพยายามใช้ Malware .NET Core ปลอมแปลงเอกสาร PDF โดยใส่รายละะเอียดเกี่ยวกับการชำระเงิน เป้าหมายของการโจมตีเป็นผู้ใช้งานที่บันทึกบัญชีและรหัสผ่านไว้บน Browser โดยเน้นไปที่ผู้ใช้งาน Facebook

    Ducktail ได้แทนที่ Malware ที่สำหรับขโมยข้อมูล NET Core รุ่นเก่าที่ใช้ในการโจมตีก่อนหน้านี้ด้วย Malware ที่เขียนด้วย PHP การโจมตีเหล่านี้มักเกี่ยวกับเกมส์ ฟล์คำบรรยาย วิดีโอสำหรับผู้ใหญ่ และ MS Office ที่ Crack เมื่อดำเนินการเสร็จสิ้น การติดตั้งจะเกิดขึ้นในพื้นหลังในขณะที่เหยื่อเห็นป๊อปอัป Malware จะถูกแยกไปยังโฟลเดอร์ %LocalAppData%\Packages\PXT ซึ่งรวมถึงคำสั่ง PHP.exe สคริปต์ต่างๆ ที่ใช้ในการขโมยข้อมูล และเครื่องมือสนับสนุน

    Ducktail จะทำงานตามกำหนดเวลาตามช่วงเวลาปกติ ในเวลาเดียวกัน ไฟล์ TMP ที่สร้างขึ้นจะรันกระบวนการคู่ขนานเพื่อเรียกใช้คอมโพเนนต์

ขอแนะนำให้ผู้ใช้ระวัง Direct Massage บน LinkedIn และคำขอดาวน์โหลดไฟล์ด้วยความระมัดระวังเป็นพิเศษ โดยเฉพาะ Crack Gamemood และ Trainner

Ref: BleepingComputer

การติดตั้ง plugin like facebook ใน wordpress

การติดตั้ง plugin like facebook ใน wordpress ก็ทำได้ไม่ยากเช่นกัน

ขั้นแรกไปที่ ปลั๊กอิน แล้วกดค้นหา ให้ใส่ like facebook แล้วจะขึ้นมาหลายอัน ให้เราเลือก คนทำชื่อ Alex Moss

ทำการติดตั้ง plugin ลงไป เมื่อเสร็จให้กด ใช้งานปลั๊กอิน

ต่อมากให้ เลือกตั้งค่า > facebook like แล้วกดเข้าไป

ในตั้งค่าก็ให้เราติ๊กเลือกอันที่เราจะใช้งาน เสร็จแล้วให้กดบันทึก

เมื่อเสร็จแล้วมันจะไปขึ้นที่หน้า wordpress ของเรา

การติดตั้ง plugin comment facebook ใน wordpress

การติดตั้ง plugin comment facebook ใน wordpress ทำได้ดังนี้

ขั้นแรกไปที่ ปลั๊กอิน แล้วกดค้นหา ให้ใส่ comment facebook แล้วจะขึ้นมาให้เราเลือกหลายอัน ให้เราเลือกคนทำชื่อ vivacity