ในทัศนียภาพของการข่มขู่ซายเบอร์ที่เปลี่ยนแปลงอย่างต่อเนื่อง สองแพลตฟอร์มที่มักจะถูกมองว่าเป็นพื้นที่ปลอดภัยสำหรับการสร้างเนื้อหา เรียนรู้และopen-sourceการร่วมมือ ได้เป็นเป้าหมายของการกระจายมัลแวร์ที่มุ่งหวังจะขโมยข้อมูลคริปโตและข้อมูลส่วนบุคคล - YouTube และGitHub.
ในปี 2024 ทิศทางของอุตสาหกรรมอันตรายมีการเปลี่ยนแปลงและผู้มีเจตนาร้ายทางไซเบอร์กำลังใช้มัลแวร์มากขึ้นวิธีการที่ซับซ้อนเพื่อใช้ประโยชน์จากแพลตฟอร์มเหล่านี้, ใช้ประโยชน์จากฐานผู้ใช้ที่กว้างขวางและชื่อเสียงที่เชื่อถือได้ของพวกเขา
ดังนั้น, วิธีการผู้ประพฤติทางไซเบอร์ใช้ YouTube และ GitHub ในการแพร่กระจายมัลแวร์และวิธีการป้องกันตนเอง
หากคุณเป็นผู้สร้างเนื้อหาหรือนักวิทยาศาสตร์ข้อมูล คุณไว้วางใจใน YouTube และ GitHub ว่าเป็นแพลตฟอร์มที่ปลอดภัย ซึ่งทำให้มันเป็นอันตรายมากขึ้นเมื่อมันถูกใช้งานผิดประโยชน์ ทำไมแพลตฟอร์มเหล่านี้กลายเป็นเป้าหมายมัลแวร์คริปโตการกระจาย?
มาเรามาค้นหาเหตุผล:
ฐานผู้ใช้ขนาดใหญ่: ทั้งสองแพลตฟอร์มมีผู้ใช้หลายล้านคน นักเลงคอมพิวเตอร์จึงมีกลุ่มเป้าหมายที่มีขนาดใหญ่อย่างมาก
การเปิดใช้งานได้: ใครก็สามารถอัปโหลดโค้ดบน GitHub ซึ่งจะเป็นโอกาสที่สูงสำหรับผู้ที่มีเจตนาร้ายทางไซเบอร์ที่จะซ่อนสคริปต์ที่เป็นอันตรายในโครงการโอเพ่นซอร์สที่ดูเหมือนจะเป็นโปรเจกต์โอเพ่นซอร์สที่มีประโยชน์
ความไว้วางใจและความน่าเชื่อถือ: ผู้คนไว้วางใจเนื้อหาที่พวกเขาค้นพบในบทแนะนำของ YouTube หรือที่เก็บข้อมูลของ GitHub ซึ่งทำให้ง่ายต่อการปกปิดมัลแวร์ให้ดูเหมือนซอฟต์แวร์หรือเครื่องมือที่ถูกต้อง
ความสนใจของผู้ใช้: ปฏิสัมพันธ์ของผู้ใช้สูงบนแพลตฟอร์มเหล่านี้ เช่น การให้คะแนนให้ GitHub repositories หรือการดูวิดีโอสอนใน YouTube สร้างสภาพแวดล้อมที่เหมาะสมสำหรับการแพร่กระจายมัลแวร์ได้อย่างรวดเร็ว
ขาดการตรวจสอบอย่างละเอียด: ผู้ใช้หลายคนดาวน์โหลดไฟล์หรือปฏิบัติตามคำแนะนำจากผู้สร้างเนื้อหาที่ได้รับความนิยมโดยไม่คิดอะไรซ้ำอีกครั้ง ซึ่งทำให้มัลแวร์ผ่านไปโดยไม่รับรู้
รู้หรือไม่ว่า? แพลตฟอร์ม Malware-as-a-service (MaaS) ทำให้มัลแวร์ที่ซับซ้อนสามารถใช้ได้สำหรับผู้ที่ต้องการจ่ายเงินเป็นบริการเช่า ทำให้การมีอาชีพด้านการมัลแวร์เป็นเรื่องง่าย แพลตฟอร์มเหล่านี้บ่งบอกถึงแพ็คเกจต่างๆ ซึ่งรวมถึง info-stealer เช่น RedLine ซึ่งเป้าหมายที่กระเป๋าเงินคริปโต
GitHub — แพลตฟอร์มที่ใช้โดยทั่วไปสำหรับแบ่งปันโค้ดโอเพ่นซอร์ส ได้กลายเป็นเป้าหมายของการโจมตีไซเบอร์ที่สำคัญ มีชื่อเสียงเป็นที่เชื่อถือของนักพัฒนาและผู้สนใจเทคโนโลยี ทำให้ผู้โจมตีสามารถซ่อนโค้ดที่เป็นอันตรายอย่างง่ายในที่สายตา โดยเป้าหมายหลักคือกระเป๋าสตางค์คริปโตและข้อมูลส่วนตัว
ในเดือนกรกฎาคม พ.ศ. 2567 Check Point Research ค้นพบเครือข่ายการกระจาย malware ที่ซับซ้อนที่เรียกว่า Stargazers Ghost Network ที่มีการดำเนินการอยู่บน GitHub อย่างน้อยหนึ่งปี
เครือข่ายนี้เกี่ยวข้องกับชุดของบัญชี “ผี” ซึ่งดูเหมือนถูกต้องเพราะมีกิจกรรม GitHub ทั่วไป เช่น การให้ดาวให้คลังข้อมูลและติดตามผู้ใช้คนอื่น ๆ สร้างภาพลวงตาที่พวกเขาเป็นบัญชีทั่วไปที่มีส่วนร่วมในชุมชนโอเพนซอร์ส
อย่างไรก็ตาม เซอร์ชเนมเบอร์พระเจ้าเสพติดหลายล้านบัญชีกวางถึงลูกทรชนผ่านการแทรกลิงก์ที่อันตรายลงในที่เก็บรายการของ GitHub ในแคมเปญที่เป็นที่สังเกตได้เป็นพิเศษ ระบบกระจาย Atlantida Stealer โปรแกรมที่ดีไซน์ใหม่ของมัลแวร์ที่ออกแบบเพื่อขโมยกระเป๋าสตางค์สกุลเงินดิจิตอลในระยะเวลาสี่วัน มีผู้ใช้งานกว่า 1,300 คนติดเชื้อ Atlantida Stealer ผ่านทางพื้นที่เก็บ GitHub ซึ่งรวมถึงข้อมูลการเข้าสู่ระบบ ข้อมูลประจำตัวที่สามารถระบุตัวตนได้ (PII)
ตระกูลมัลแวร์ที่แพร่กระจายโดยเครือข่าย ได้แก่ Atlantida Stealer, Rhadamanthys, Lumma Stealer และ RedLine
พวกเขาสามารถใช้ประโยชน์จาก GitHub ได้อย่างไร? เรามาดูกัน
README.md เสมือนม้าโจร: คุณอาจคิดว่าไฟล์ README.md ในที่เก็บของ GitHub คือเพียงคำอธิบายทั่วไปของโครงการหรือคำแนะนำในการใช้งาน คำลับ? ไฟล์เหล่านี้อาจเต็มไปด้วยลิงก์ที่เป็นอันตรายที่ปกปิดตัวเป็นทรัพยากรที่เป็นประโยชน์เพื่อเพิ่มผู้ติดตามสื่อสังคมของคุณ ส่งผลให้เกิดการโจมตีดักล้อหรือมัลแวร์
พลังของ “ดาว” และ “forks”: ใน GitHub เมื่อโปรเจคได้รับดาวมากหรือถูก fork บ่อย ๆ มันจะดูเป็นที่นิยมและน่าเชื่อถือ คนอันตรายทางไซเบอร์ใช้โอกาสนี้โดยการสร้างบัญชีปลอม (หรือ “บัญชีผี”) เพื่อการให้ดาวและ fork สำหรับที่เก็บรักษาของตนเอง ทำให้รหัสที่ทำผิดกลายเป็นถูกต้อง ยิ่งมีดาวมาก ๆ โปรเจคจะดูน่าเชื่อถือมาก ผู้ใช้งานบ่อยคิดว่าโปรเจคที่มีความสนใจสูงที่สุดโดยไม่ไปศึกษาลึกลงไปในสิ่งที่เสนอ
การหมุนเวียนตลอดเวลาของบัญชี: ผู้มีเจตนาทางไซเบอร์เช่นเครือข่ายผู้ใช้ Ghost ของ Stargazers มักอยู่ข้างหน้าเสมอ ในการหลีกเลี่ยงการตรวจสอบพวกเขาจะสร้างบัญชีใหม่อยู่เสมอและหมุนเวียนกิจกรรมของพวกเขา ทำให้ยากต่อการปิดกั้นกิจกรรมที่อันตรายของพวกเขาแม้แต่หลังจากที่แพลตฟอร์มจะแบนพวกเขา
มัลแวร์ที่ซ่อนอยู่ในการเผยแพร่: ไฟล์ที่เป็นอันตรายถูกซ่อนเร้นอยู่ในเอกสารที่มีรหัสผ่าน (เช่นไฟล์ .zip หรือ .7z) ซึ่งทำให้มันยากต่อการตรวจจับ ไฟล์เหล่านี้มักถูกปลอมแปลงให้ดูเสมือนซอฟต์แวร์ที่ถูกต้องและถูกดาวน์โหลดโดยผู้ใช้ที่ไม่สงสัย
อาจจะทำให้กลัวมากขึ้นอีกถ้าดูจากวิธีที่บัญชีผีเหล่านี้กลายเป็นธุรกิจบนเว็บมืด (เช่าให้เพิ่มความถูกต้อง) อาชญกรเรียกค่าใช้จ่ายให้ผู้อื่นสำหรับการเป็นดาว, การ fork และทำให้โครงการที่อันตรายดูเชื่อถือได้ Stargazers Ghost Network ได้รับรายได้รอบ$ 100,000 ผ่านบริการเหล่านี้
คุณสามารถหลีกเลี่ยงที่จะตกในกับกับกลุ่มอาชญากรรมทางไซเบอร์โดยการเข้าใจเทคนิคการประสานข้ามที่กล่าวถึงข้างต้น
รู้หรือไม่? เมื่อคุณ “star” รีพอสิทอรีบน GitHub หมายความว่าคุณกำลังทำเครื่องหมายที่รีพอสิทอรีนั้นเพื่ออ่านในภายหลัง นี่เป็นวิธีที่จะแสดงความนับถือหรือความสนใจในโครงการ ในทางกลับกัน “forking” รีพอสิทอรีช่วยให้คุณสามารถสร้างสำเนาของมันได้ นี้ช่วยให้คุณทดลอง ทำการเปลี่ยนแปลงหรือแม้กระทั่งสร้างต่อยอดโครงการเดิมโดยไม่กระทบต่อเวอร์ชันเดิม
ด้วยจำนวนผู้ใช้กว่า 2.5 พันล้านคน YouTube กลายเป็นแพลตฟอร์มที่ทุกคนไปตามหาสำหรับบทช่วยสอน ความบันเทิง และเนื้อหาการศึกษา ฐานผู้ใช้ที่ใหญ่มากนี้ทำให้มันเป็นเป้าหมายที่มีกำไรสำหรับผู้ก่อการร้ายทางไซเบอร์ที่ต้องการใช้โอกาสในการล่วงลงผู้ใช้ที่ไม่รู้ตัว วิธีการ? วิดีโอที่เทอะเท๊ะ บทช่วยสอนปลอม และลิงก์ที่เป็นอันตรายที่ฝังอยู่ในคำอธิบายของวิดีโอ
ตัวอย่างเช่น ผู้ก่อการร้ายทางไซเบอร์บ่อยครั้งใช้วิดีโอที่อ้างว่าเสนอเวอร์ชัน "cracked" ของซอฟต์แวร์ยอดนิยม เช่น AutoCAD, Adobe After Effects หรือ Photoshop เพื่อดึงดูดผู้ใช้ที่ไม่ต้องการหรือไม่สามารถจ่ายค่าเวอร์ชันที่ถูกต้อง
หลายคนไม่เข้าใจว่าการตามคำแนะนำในวิดีโอเหล่านี้ อาจทำให้พวกเขาดาวน์โหลดมัลแวร์ ไม่ใช่ซอฟต์แวร์ที่พวกเขาหวังหวั่นไว้
มัลแวร์ Lumma Stealer ได้รับการแพร่กระจายบน YouTube ตลอดปี 2024 มันถูกออกแบบมาเพื่อสกัดข้อมูลที่อ่อนไหวมาก เช่น รหัสผ่านบราวเซอร์ที่บันทึกไว้ คุกกี้ และแม้กระทั่งข้อมูลรับรองกระเป๋าสตางค์คริปโต
เรามาเข้าใจวิธีการทำงานนี้กัน
มัลแวร์ที่ซ่อนอยู่ในไฟล์ ZIP: ผู้ประกอบการอาชญากรรมซ่อมแซมมัลแวร์ในไฟล์ ZIP ซึ่งผู้ใช้ถูกนำไปดาวน์โหลดผ่านคำอธิบายวิดีโอ
วิดีโอสอนที่หลอกลวง: วิดีโอถูกปรับแต่งอย่างชาญฉลาดให้ดูเหมือนวิดีโอสอนหรือ "วิธีการ" สำหรับการติดตั้งซอฟต์แวร์ แต่เมื่อผู้ใช้ปฏิบัติตามขั้นตอน พวกเขาก็ไม่รู้ตัวว่าคอมพิวเตอร์ของพวกเขาถูกติดเชื้อ
การโจมตีประเภทนี้ใช้ประโยชน์จากความไว้วางใจของผู้ใช้ใน YouTube ท้ายที่สุดเมื่อวิดีโอมียอดดูและความคิดเห็นเชิงบวกหลายแสนครั้งดูเหมือนว่าจะไม่ใช่สิ่งที่อาจเป็นอันตรายต่อคอมพิวเตอร์ของคุณ นี่คือสิ่งที่ทําให้การโจมตีเหล่านี้มีประสิทธิภาพมาก: ผสมผสานเข้ากับเนื้อหาที่ถูกกฎหมายได้อย่างราบรื่น
คุณรู้หรือไม่? ผู้สร้างมัลแวร์ได้คิดค้นวิธีที่มีประสิทธิภาพมากๆในการกระจายมัลแวร์ โดยใช้ความคิดเชิงกลยุคบนคอมเมนต์ในส่วนของ GitHub สาธารณะ ความคิดเหล่านี้มักจะรวมถึงลิงก์ไปยังเอกสารเข้ารหัสที่ถูกโฮสต์บน Mediafire[.]com พร้อมกับรหัสผ่านทั่วไป “changeme” เพื่อเข้าถึงไฟล์ หลังจากเหยียบถามและแตกไฟล์เอกสาร ข้อมูลของเหยื่อก็กลายเป็นอยู่ในที่ชุลแล้ว
ผู้ก่อการร้ายทางไซเบอร์ก็เริ่มใช้เทคนิคที่ทันสมัยมากขึ้น เช่น การโจมตีเซสชันไฮแจ็ก ซึ่งไม่ต้องการรหัสผ่านหรือข้อมูลประจำตัวของคุณ
แทนที่นั้น มันจะโจมตีคุกกี้เซสชันของคุณ — ไฟล์ขนาดเล็กที่ติดตามเซสชันที่ทำงานอยู่บนแพลตฟอร์ม เช่น YouTube หรือ Google ด้วยคุกกี้เซสชันเหล่านี้ ผู้โจมตีสามารถวิ่งผ่านการตรวจสอบสองขั้นตอน (2FA)และเข้าถึงบัญชีของคุณโดยไม่ต้องใช้รหัสผ่าน
ในเดือนมีนาคม พ.ศ. 2567 พบแคมเปญมัลแวร์ที่แพร่กระจายผ่านคำอธิบายวิดีโอบน YouTube มัลแวร์นี้ถูกออกแบบมาเพื่อขโมยคุกกี้เซสชั่น เป็นการอนุญาตให้ผู้โจมตีได้ยึดบัญชีผู้ใช้และแพร่กระจายไปยังอื่นๆ
ในปี 2023 บริษัทความมั่นคงปลอดภัย Bitdefender ตรวจพบเทคนิคที่เรียกว่า "stream-jacking" ซึ่งผู้มีเจตนาทางไซเบอร์ใช้โจมตีบัญชีที่มีชื่อเสียงเป็นพิเศษ โดยบ่อยครั้งที่มีภาพปลอมมีเนื้อหาของ Elon Musk และ Tesla เพื่อดึงดูดผู้ใช้ให้ตกเป็นเหยื่อของการโกง
โดยใช้อีเมลฟิชชิ่งแ Disguised as collaboration offers, hackers install Redline Infostealer malware, gaining control of accounts even with 2FA. These scammers direct users to crypto scam websites using malicious links or QR codes embedded in videos.
เนื้อหาเดิมถูกลบหรือซ่อนอย่างลับ และคำอธิบายถูกเปลี่ยนแปลงให้คล้ายกับช่องทางทาสล่าอย่างเป็นทาส. หลังจากตรวจพบกิจกรรมที่น่าสงสัย, YouTube มักปิดบัญชีเหล่านี้โดยทั่วไป, ซึ่งส่งผลให้เจ้าของที่ถูกต้องเสียหายอย่างมีนัยสำคัญ, รวมถึงวิดีโอ, ผู้ติดตาม และการเกิดรายได้
ท่านรู้หรือไม่ว่า? การโจมตีผ่านการฟิชชิ่งบ่อยครั้งใช้โดเมนหลอกลวงเพื่อหลอกผู้ใช้ดาวน์โหลดมัลแวร์หรือเปิดเผยข้อมูลที่เป็นความลับ ผู้ที่มีความผิดปกติใช้เว็บไซต์เช่น pro-swapper[.]com, fenzor[.]com และ vortex-cloudgaming[.]com โดยการเลียนแบบแพลตฟอร์มที่ถูกต้องเพื่อล่อเหยื่อ ตรวจสอบความถูกต้องของเว็บไซต์เสมอก่อนดาวน์โหลดไฟล์หรือกรอกข้อมูลส่วนตัว
มีการรุนแรงของการโจมตีทางไซเบอร์, สำคัญกว่าเคยสำหรับผู้ใช้ที่จะต้องมีความระมัดระวัง นี่คือวิธีการป้องกันตัวเอง:
ตรวจสอบบัญชีของคุณ: หลายแพลตฟอร์มรวมถึง Google และ GitHub ช่วยให้คุณเห็นการเข้าสู่ระบบล่าสุดและอุปกรณ์ที่เชื่อมต่อกับบัญชีของคุณ หากมีอะไรที่ดูเหมือนผิดปกติ ให้เปลี่ยนรหัสผ่านทันทีและออกจากระบบทุกเซสชัน
ใช้รหัสผ่านที่แข็งแรงและไม่ซ้ำ และเปิดใช้ 2FA: ในขณะที่ 2FA ไม่ใช่วิธีที่ป้องกันได้ 100% จากการโจมตี session hijacking แต่ก็ยังคงเป็นชั้นความปลอดภัยที่สำคัญ การใช้รหัสผ่านที่แข็งแรงและไม่ซ้ำสำหรับแต่ละแพลตฟอร์มยังสามารถป้องกันผู้โจมตีไม่ให้เข้าถึงบัญชีหลายรายการหากมีบัญชีหนึ่งถูกครอมไพล์
ใช้ MFA ที่สามารถต้านการโจมตีด้วยการล่อให้เป็นอันตราย: เลือกใช้ตัวคีย์รักษาความปลอดภัยด้วยฮาร์ดแวร์หรือการยืนยันตัวตนโดยใช้ช่องปากกาที่ใช้ประสิทธิภาพสูงสำหรับการป้องกันการโจรกรรมข้อมูลผ่านอีเมล์ที่แข็งแกร่งมากขึ้น
ตรวจสอบลิงก์ก่อนคลิก: ตรวจสอบความถูกต้องของลิงก์ในคำอธิบายวิดีโอ YouTube หรือที่เก็บรักษา GitHub ก่อนที่จะคลิก มองหาสัญญาณที่บ่งชี้ว่าบางสิ่งอาจไม่ปกติ เช่น URL ที่ถูกย่อหรือโดเมนที่ไม่ตรงกับโครงสร้างทั่วไปของแพลตฟอร์ม
ควรมีความสงสัยในการเสนอซอฟต์แวร์ฟรี: หากมีบางสิ่งที่ดูดีเกินไปจริงๆ มันอาจเป็นเช่นนั้นจริงๆ ควรระมัดระวังต่อวิดีโอหรือเว็บไซต์ GitHub ที่ให้บริการซอฟต์แวร์แตก, โดยเฉพาะอย่างยิ่งหากมีการต้องดาวน์โหลดไฟล์จากเว็บไซต์ที่ไม่คุ้นเคย ควรดาวน์โหลดซอฟต์แวร์จากแหล่งที่มีความน่าเชื่อถือและเป็นทางการเท่านั้น
อัปเดตซอฟต์แวร์อย่างสม่ำเสมอ: การเฝ้าระวังให้ระบบปฏิบัติการ ซอฟต์แวร์ป้องกันไวรัสและแอปพลิเคชันของคุณอัปเดตสม่ำเสมอเป็นสิ่งสำคัญสำหรับการป้องกันจากช่องโหว่ที่รู้จักที่มัลแวร์ใช้เอาชนะ
น่าเสียดายที่แนวโน้มของการใช้แพลตฟอร์มเช่น YouTube และ GitHub ในการกระจาย malware ไม่แสดงอาการลดลงเลย ซึ่งเมื่อแพลตฟอร์มเช่นนี้ยังคงขยายตัวอยู่ ความคิดสร้างสรรค์และความซับซ้อนของผู้โจมตีไซเบอร์จะเพิ่มขึ้นเช่นกัน
มองไปข้างหน้า,คนอาชญากรรมทางไซเบอร์ที่ผสมผสานเครื่องมือที่มีพลังงาน AI อาจทําให้การโจมตีเหล่านี้ยากยิ่งขึ้นในการตรวจจับ ลองนึกภาพบัญชีผีที่ขับเคลื่อนด้วย AI ที่สามารถโต้ตอบกับผู้ใช้ได้อย่างอิสระปรับแต่งข้อความฟิชชิ่งตามการโต้ตอบแบบเรียลไทม์และการตอบกลับส่วนบุคคล สิ่งนี้อาจนําไปสู่คลื่นการกระจายมัลแวร์ที่น่าเชื่อถือมากขึ้นซึ่งแทบจะเป็นไปไม่ได้เลยที่จะแยกความแตกต่างจากกิจกรรมที่ถูกกฎหมาย
การเข้าใจและบรรเทาความเสี่ยงเหล่านี้เป็นสิ่งสำคัญในโลกที่การยอมรับสกุลเงินดิจิตอลเพิ่มขึ้น, และแพลตฟอร์มดิจิตอลกำลังกลายเป็นส่วนสำคัญของหลายด้านของชีวิต
ผู้ใช้งานต้องระมัดระวังแพลตฟอร์มต้องเร่งความปลอดภัยและความร่วมมือระหว่างผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์, นักพัฒนาโปรแกรม และผู้ที่เกี่ยวข้องทั้งหมดเพื่อให้มั่นใจในอนาคตดิจิทัลที่ปลอดภัย
ในทัศนียภาพของการข่มขู่ซายเบอร์ที่เปลี่ยนแปลงอย่างต่อเนื่อง สองแพลตฟอร์มที่มักจะถูกมองว่าเป็นพื้นที่ปลอดภัยสำหรับการสร้างเนื้อหา เรียนรู้และopen-sourceการร่วมมือ ได้เป็นเป้าหมายของการกระจายมัลแวร์ที่มุ่งหวังจะขโมยข้อมูลคริปโตและข้อมูลส่วนบุคคล - YouTube และGitHub.
ในปี 2024 ทิศทางของอุตสาหกรรมอันตรายมีการเปลี่ยนแปลงและผู้มีเจตนาร้ายทางไซเบอร์กำลังใช้มัลแวร์มากขึ้นวิธีการที่ซับซ้อนเพื่อใช้ประโยชน์จากแพลตฟอร์มเหล่านี้, ใช้ประโยชน์จากฐานผู้ใช้ที่กว้างขวางและชื่อเสียงที่เชื่อถือได้ของพวกเขา
ดังนั้น, วิธีการผู้ประพฤติทางไซเบอร์ใช้ YouTube และ GitHub ในการแพร่กระจายมัลแวร์และวิธีการป้องกันตนเอง
หากคุณเป็นผู้สร้างเนื้อหาหรือนักวิทยาศาสตร์ข้อมูล คุณไว้วางใจใน YouTube และ GitHub ว่าเป็นแพลตฟอร์มที่ปลอดภัย ซึ่งทำให้มันเป็นอันตรายมากขึ้นเมื่อมันถูกใช้งานผิดประโยชน์ ทำไมแพลตฟอร์มเหล่านี้กลายเป็นเป้าหมายมัลแวร์คริปโตการกระจาย?
มาเรามาค้นหาเหตุผล:
ฐานผู้ใช้ขนาดใหญ่: ทั้งสองแพลตฟอร์มมีผู้ใช้หลายล้านคน นักเลงคอมพิวเตอร์จึงมีกลุ่มเป้าหมายที่มีขนาดใหญ่อย่างมาก
การเปิดใช้งานได้: ใครก็สามารถอัปโหลดโค้ดบน GitHub ซึ่งจะเป็นโอกาสที่สูงสำหรับผู้ที่มีเจตนาร้ายทางไซเบอร์ที่จะซ่อนสคริปต์ที่เป็นอันตรายในโครงการโอเพ่นซอร์สที่ดูเหมือนจะเป็นโปรเจกต์โอเพ่นซอร์สที่มีประโยชน์
ความไว้วางใจและความน่าเชื่อถือ: ผู้คนไว้วางใจเนื้อหาที่พวกเขาค้นพบในบทแนะนำของ YouTube หรือที่เก็บข้อมูลของ GitHub ซึ่งทำให้ง่ายต่อการปกปิดมัลแวร์ให้ดูเหมือนซอฟต์แวร์หรือเครื่องมือที่ถูกต้อง
ความสนใจของผู้ใช้: ปฏิสัมพันธ์ของผู้ใช้สูงบนแพลตฟอร์มเหล่านี้ เช่น การให้คะแนนให้ GitHub repositories หรือการดูวิดีโอสอนใน YouTube สร้างสภาพแวดล้อมที่เหมาะสมสำหรับการแพร่กระจายมัลแวร์ได้อย่างรวดเร็ว
ขาดการตรวจสอบอย่างละเอียด: ผู้ใช้หลายคนดาวน์โหลดไฟล์หรือปฏิบัติตามคำแนะนำจากผู้สร้างเนื้อหาที่ได้รับความนิยมโดยไม่คิดอะไรซ้ำอีกครั้ง ซึ่งทำให้มัลแวร์ผ่านไปโดยไม่รับรู้
รู้หรือไม่ว่า? แพลตฟอร์ม Malware-as-a-service (MaaS) ทำให้มัลแวร์ที่ซับซ้อนสามารถใช้ได้สำหรับผู้ที่ต้องการจ่ายเงินเป็นบริการเช่า ทำให้การมีอาชีพด้านการมัลแวร์เป็นเรื่องง่าย แพลตฟอร์มเหล่านี้บ่งบอกถึงแพ็คเกจต่างๆ ซึ่งรวมถึง info-stealer เช่น RedLine ซึ่งเป้าหมายที่กระเป๋าเงินคริปโต
GitHub — แพลตฟอร์มที่ใช้โดยทั่วไปสำหรับแบ่งปันโค้ดโอเพ่นซอร์ส ได้กลายเป็นเป้าหมายของการโจมตีไซเบอร์ที่สำคัญ มีชื่อเสียงเป็นที่เชื่อถือของนักพัฒนาและผู้สนใจเทคโนโลยี ทำให้ผู้โจมตีสามารถซ่อนโค้ดที่เป็นอันตรายอย่างง่ายในที่สายตา โดยเป้าหมายหลักคือกระเป๋าสตางค์คริปโตและข้อมูลส่วนตัว
ในเดือนกรกฎาคม พ.ศ. 2567 Check Point Research ค้นพบเครือข่ายการกระจาย malware ที่ซับซ้อนที่เรียกว่า Stargazers Ghost Network ที่มีการดำเนินการอยู่บน GitHub อย่างน้อยหนึ่งปี
เครือข่ายนี้เกี่ยวข้องกับชุดของบัญชี “ผี” ซึ่งดูเหมือนถูกต้องเพราะมีกิจกรรม GitHub ทั่วไป เช่น การให้ดาวให้คลังข้อมูลและติดตามผู้ใช้คนอื่น ๆ สร้างภาพลวงตาที่พวกเขาเป็นบัญชีทั่วไปที่มีส่วนร่วมในชุมชนโอเพนซอร์ส
อย่างไรก็ตาม เซอร์ชเนมเบอร์พระเจ้าเสพติดหลายล้านบัญชีกวางถึงลูกทรชนผ่านการแทรกลิงก์ที่อันตรายลงในที่เก็บรายการของ GitHub ในแคมเปญที่เป็นที่สังเกตได้เป็นพิเศษ ระบบกระจาย Atlantida Stealer โปรแกรมที่ดีไซน์ใหม่ของมัลแวร์ที่ออกแบบเพื่อขโมยกระเป๋าสตางค์สกุลเงินดิจิตอลในระยะเวลาสี่วัน มีผู้ใช้งานกว่า 1,300 คนติดเชื้อ Atlantida Stealer ผ่านทางพื้นที่เก็บ GitHub ซึ่งรวมถึงข้อมูลการเข้าสู่ระบบ ข้อมูลประจำตัวที่สามารถระบุตัวตนได้ (PII)
ตระกูลมัลแวร์ที่แพร่กระจายโดยเครือข่าย ได้แก่ Atlantida Stealer, Rhadamanthys, Lumma Stealer และ RedLine
พวกเขาสามารถใช้ประโยชน์จาก GitHub ได้อย่างไร? เรามาดูกัน
README.md เสมือนม้าโจร: คุณอาจคิดว่าไฟล์ README.md ในที่เก็บของ GitHub คือเพียงคำอธิบายทั่วไปของโครงการหรือคำแนะนำในการใช้งาน คำลับ? ไฟล์เหล่านี้อาจเต็มไปด้วยลิงก์ที่เป็นอันตรายที่ปกปิดตัวเป็นทรัพยากรที่เป็นประโยชน์เพื่อเพิ่มผู้ติดตามสื่อสังคมของคุณ ส่งผลให้เกิดการโจมตีดักล้อหรือมัลแวร์
พลังของ “ดาว” และ “forks”: ใน GitHub เมื่อโปรเจคได้รับดาวมากหรือถูก fork บ่อย ๆ มันจะดูเป็นที่นิยมและน่าเชื่อถือ คนอันตรายทางไซเบอร์ใช้โอกาสนี้โดยการสร้างบัญชีปลอม (หรือ “บัญชีผี”) เพื่อการให้ดาวและ fork สำหรับที่เก็บรักษาของตนเอง ทำให้รหัสที่ทำผิดกลายเป็นถูกต้อง ยิ่งมีดาวมาก ๆ โปรเจคจะดูน่าเชื่อถือมาก ผู้ใช้งานบ่อยคิดว่าโปรเจคที่มีความสนใจสูงที่สุดโดยไม่ไปศึกษาลึกลงไปในสิ่งที่เสนอ
การหมุนเวียนตลอดเวลาของบัญชี: ผู้มีเจตนาทางไซเบอร์เช่นเครือข่ายผู้ใช้ Ghost ของ Stargazers มักอยู่ข้างหน้าเสมอ ในการหลีกเลี่ยงการตรวจสอบพวกเขาจะสร้างบัญชีใหม่อยู่เสมอและหมุนเวียนกิจกรรมของพวกเขา ทำให้ยากต่อการปิดกั้นกิจกรรมที่อันตรายของพวกเขาแม้แต่หลังจากที่แพลตฟอร์มจะแบนพวกเขา
มัลแวร์ที่ซ่อนอยู่ในการเผยแพร่: ไฟล์ที่เป็นอันตรายถูกซ่อนเร้นอยู่ในเอกสารที่มีรหัสผ่าน (เช่นไฟล์ .zip หรือ .7z) ซึ่งทำให้มันยากต่อการตรวจจับ ไฟล์เหล่านี้มักถูกปลอมแปลงให้ดูเสมือนซอฟต์แวร์ที่ถูกต้องและถูกดาวน์โหลดโดยผู้ใช้ที่ไม่สงสัย
อาจจะทำให้กลัวมากขึ้นอีกถ้าดูจากวิธีที่บัญชีผีเหล่านี้กลายเป็นธุรกิจบนเว็บมืด (เช่าให้เพิ่มความถูกต้อง) อาชญกรเรียกค่าใช้จ่ายให้ผู้อื่นสำหรับการเป็นดาว, การ fork และทำให้โครงการที่อันตรายดูเชื่อถือได้ Stargazers Ghost Network ได้รับรายได้รอบ$ 100,000 ผ่านบริการเหล่านี้
คุณสามารถหลีกเลี่ยงที่จะตกในกับกับกลุ่มอาชญากรรมทางไซเบอร์โดยการเข้าใจเทคนิคการประสานข้ามที่กล่าวถึงข้างต้น
รู้หรือไม่? เมื่อคุณ “star” รีพอสิทอรีบน GitHub หมายความว่าคุณกำลังทำเครื่องหมายที่รีพอสิทอรีนั้นเพื่ออ่านในภายหลัง นี่เป็นวิธีที่จะแสดงความนับถือหรือความสนใจในโครงการ ในทางกลับกัน “forking” รีพอสิทอรีช่วยให้คุณสามารถสร้างสำเนาของมันได้ นี้ช่วยให้คุณทดลอง ทำการเปลี่ยนแปลงหรือแม้กระทั่งสร้างต่อยอดโครงการเดิมโดยไม่กระทบต่อเวอร์ชันเดิม
ด้วยจำนวนผู้ใช้กว่า 2.5 พันล้านคน YouTube กลายเป็นแพลตฟอร์มที่ทุกคนไปตามหาสำหรับบทช่วยสอน ความบันเทิง และเนื้อหาการศึกษา ฐานผู้ใช้ที่ใหญ่มากนี้ทำให้มันเป็นเป้าหมายที่มีกำไรสำหรับผู้ก่อการร้ายทางไซเบอร์ที่ต้องการใช้โอกาสในการล่วงลงผู้ใช้ที่ไม่รู้ตัว วิธีการ? วิดีโอที่เทอะเท๊ะ บทช่วยสอนปลอม และลิงก์ที่เป็นอันตรายที่ฝังอยู่ในคำอธิบายของวิดีโอ
ตัวอย่างเช่น ผู้ก่อการร้ายทางไซเบอร์บ่อยครั้งใช้วิดีโอที่อ้างว่าเสนอเวอร์ชัน "cracked" ของซอฟต์แวร์ยอดนิยม เช่น AutoCAD, Adobe After Effects หรือ Photoshop เพื่อดึงดูดผู้ใช้ที่ไม่ต้องการหรือไม่สามารถจ่ายค่าเวอร์ชันที่ถูกต้อง
หลายคนไม่เข้าใจว่าการตามคำแนะนำในวิดีโอเหล่านี้ อาจทำให้พวกเขาดาวน์โหลดมัลแวร์ ไม่ใช่ซอฟต์แวร์ที่พวกเขาหวังหวั่นไว้
มัลแวร์ Lumma Stealer ได้รับการแพร่กระจายบน YouTube ตลอดปี 2024 มันถูกออกแบบมาเพื่อสกัดข้อมูลที่อ่อนไหวมาก เช่น รหัสผ่านบราวเซอร์ที่บันทึกไว้ คุกกี้ และแม้กระทั่งข้อมูลรับรองกระเป๋าสตางค์คริปโต
เรามาเข้าใจวิธีการทำงานนี้กัน
มัลแวร์ที่ซ่อนอยู่ในไฟล์ ZIP: ผู้ประกอบการอาชญากรรมซ่อมแซมมัลแวร์ในไฟล์ ZIP ซึ่งผู้ใช้ถูกนำไปดาวน์โหลดผ่านคำอธิบายวิดีโอ
วิดีโอสอนที่หลอกลวง: วิดีโอถูกปรับแต่งอย่างชาญฉลาดให้ดูเหมือนวิดีโอสอนหรือ "วิธีการ" สำหรับการติดตั้งซอฟต์แวร์ แต่เมื่อผู้ใช้ปฏิบัติตามขั้นตอน พวกเขาก็ไม่รู้ตัวว่าคอมพิวเตอร์ของพวกเขาถูกติดเชื้อ
การโจมตีประเภทนี้ใช้ประโยชน์จากความไว้วางใจของผู้ใช้ใน YouTube ท้ายที่สุดเมื่อวิดีโอมียอดดูและความคิดเห็นเชิงบวกหลายแสนครั้งดูเหมือนว่าจะไม่ใช่สิ่งที่อาจเป็นอันตรายต่อคอมพิวเตอร์ของคุณ นี่คือสิ่งที่ทําให้การโจมตีเหล่านี้มีประสิทธิภาพมาก: ผสมผสานเข้ากับเนื้อหาที่ถูกกฎหมายได้อย่างราบรื่น
คุณรู้หรือไม่? ผู้สร้างมัลแวร์ได้คิดค้นวิธีที่มีประสิทธิภาพมากๆในการกระจายมัลแวร์ โดยใช้ความคิดเชิงกลยุคบนคอมเมนต์ในส่วนของ GitHub สาธารณะ ความคิดเหล่านี้มักจะรวมถึงลิงก์ไปยังเอกสารเข้ารหัสที่ถูกโฮสต์บน Mediafire[.]com พร้อมกับรหัสผ่านทั่วไป “changeme” เพื่อเข้าถึงไฟล์ หลังจากเหยียบถามและแตกไฟล์เอกสาร ข้อมูลของเหยื่อก็กลายเป็นอยู่ในที่ชุลแล้ว
ผู้ก่อการร้ายทางไซเบอร์ก็เริ่มใช้เทคนิคที่ทันสมัยมากขึ้น เช่น การโจมตีเซสชันไฮแจ็ก ซึ่งไม่ต้องการรหัสผ่านหรือข้อมูลประจำตัวของคุณ
แทนที่นั้น มันจะโจมตีคุกกี้เซสชันของคุณ — ไฟล์ขนาดเล็กที่ติดตามเซสชันที่ทำงานอยู่บนแพลตฟอร์ม เช่น YouTube หรือ Google ด้วยคุกกี้เซสชันเหล่านี้ ผู้โจมตีสามารถวิ่งผ่านการตรวจสอบสองขั้นตอน (2FA)และเข้าถึงบัญชีของคุณโดยไม่ต้องใช้รหัสผ่าน
ในเดือนมีนาคม พ.ศ. 2567 พบแคมเปญมัลแวร์ที่แพร่กระจายผ่านคำอธิบายวิดีโอบน YouTube มัลแวร์นี้ถูกออกแบบมาเพื่อขโมยคุกกี้เซสชั่น เป็นการอนุญาตให้ผู้โจมตีได้ยึดบัญชีผู้ใช้และแพร่กระจายไปยังอื่นๆ
ในปี 2023 บริษัทความมั่นคงปลอดภัย Bitdefender ตรวจพบเทคนิคที่เรียกว่า "stream-jacking" ซึ่งผู้มีเจตนาทางไซเบอร์ใช้โจมตีบัญชีที่มีชื่อเสียงเป็นพิเศษ โดยบ่อยครั้งที่มีภาพปลอมมีเนื้อหาของ Elon Musk และ Tesla เพื่อดึงดูดผู้ใช้ให้ตกเป็นเหยื่อของการโกง
โดยใช้อีเมลฟิชชิ่งแ Disguised as collaboration offers, hackers install Redline Infostealer malware, gaining control of accounts even with 2FA. These scammers direct users to crypto scam websites using malicious links or QR codes embedded in videos.
เนื้อหาเดิมถูกลบหรือซ่อนอย่างลับ และคำอธิบายถูกเปลี่ยนแปลงให้คล้ายกับช่องทางทาสล่าอย่างเป็นทาส. หลังจากตรวจพบกิจกรรมที่น่าสงสัย, YouTube มักปิดบัญชีเหล่านี้โดยทั่วไป, ซึ่งส่งผลให้เจ้าของที่ถูกต้องเสียหายอย่างมีนัยสำคัญ, รวมถึงวิดีโอ, ผู้ติดตาม และการเกิดรายได้
ท่านรู้หรือไม่ว่า? การโจมตีผ่านการฟิชชิ่งบ่อยครั้งใช้โดเมนหลอกลวงเพื่อหลอกผู้ใช้ดาวน์โหลดมัลแวร์หรือเปิดเผยข้อมูลที่เป็นความลับ ผู้ที่มีความผิดปกติใช้เว็บไซต์เช่น pro-swapper[.]com, fenzor[.]com และ vortex-cloudgaming[.]com โดยการเลียนแบบแพลตฟอร์มที่ถูกต้องเพื่อล่อเหยื่อ ตรวจสอบความถูกต้องของเว็บไซต์เสมอก่อนดาวน์โหลดไฟล์หรือกรอกข้อมูลส่วนตัว
มีการรุนแรงของการโจมตีทางไซเบอร์, สำคัญกว่าเคยสำหรับผู้ใช้ที่จะต้องมีความระมัดระวัง นี่คือวิธีการป้องกันตัวเอง:
ตรวจสอบบัญชีของคุณ: หลายแพลตฟอร์มรวมถึง Google และ GitHub ช่วยให้คุณเห็นการเข้าสู่ระบบล่าสุดและอุปกรณ์ที่เชื่อมต่อกับบัญชีของคุณ หากมีอะไรที่ดูเหมือนผิดปกติ ให้เปลี่ยนรหัสผ่านทันทีและออกจากระบบทุกเซสชัน
ใช้รหัสผ่านที่แข็งแรงและไม่ซ้ำ และเปิดใช้ 2FA: ในขณะที่ 2FA ไม่ใช่วิธีที่ป้องกันได้ 100% จากการโจมตี session hijacking แต่ก็ยังคงเป็นชั้นความปลอดภัยที่สำคัญ การใช้รหัสผ่านที่แข็งแรงและไม่ซ้ำสำหรับแต่ละแพลตฟอร์มยังสามารถป้องกันผู้โจมตีไม่ให้เข้าถึงบัญชีหลายรายการหากมีบัญชีหนึ่งถูกครอมไพล์
ใช้ MFA ที่สามารถต้านการโจมตีด้วยการล่อให้เป็นอันตราย: เลือกใช้ตัวคีย์รักษาความปลอดภัยด้วยฮาร์ดแวร์หรือการยืนยันตัวตนโดยใช้ช่องปากกาที่ใช้ประสิทธิภาพสูงสำหรับการป้องกันการโจรกรรมข้อมูลผ่านอีเมล์ที่แข็งแกร่งมากขึ้น
ตรวจสอบลิงก์ก่อนคลิก: ตรวจสอบความถูกต้องของลิงก์ในคำอธิบายวิดีโอ YouTube หรือที่เก็บรักษา GitHub ก่อนที่จะคลิก มองหาสัญญาณที่บ่งชี้ว่าบางสิ่งอาจไม่ปกติ เช่น URL ที่ถูกย่อหรือโดเมนที่ไม่ตรงกับโครงสร้างทั่วไปของแพลตฟอร์ม
ควรมีความสงสัยในการเสนอซอฟต์แวร์ฟรี: หากมีบางสิ่งที่ดูดีเกินไปจริงๆ มันอาจเป็นเช่นนั้นจริงๆ ควรระมัดระวังต่อวิดีโอหรือเว็บไซต์ GitHub ที่ให้บริการซอฟต์แวร์แตก, โดยเฉพาะอย่างยิ่งหากมีการต้องดาวน์โหลดไฟล์จากเว็บไซต์ที่ไม่คุ้นเคย ควรดาวน์โหลดซอฟต์แวร์จากแหล่งที่มีความน่าเชื่อถือและเป็นทางการเท่านั้น
อัปเดตซอฟต์แวร์อย่างสม่ำเสมอ: การเฝ้าระวังให้ระบบปฏิบัติการ ซอฟต์แวร์ป้องกันไวรัสและแอปพลิเคชันของคุณอัปเดตสม่ำเสมอเป็นสิ่งสำคัญสำหรับการป้องกันจากช่องโหว่ที่รู้จักที่มัลแวร์ใช้เอาชนะ
น่าเสียดายที่แนวโน้มของการใช้แพลตฟอร์มเช่น YouTube และ GitHub ในการกระจาย malware ไม่แสดงอาการลดลงเลย ซึ่งเมื่อแพลตฟอร์มเช่นนี้ยังคงขยายตัวอยู่ ความคิดสร้างสรรค์และความซับซ้อนของผู้โจมตีไซเบอร์จะเพิ่มขึ้นเช่นกัน
มองไปข้างหน้า,คนอาชญากรรมทางไซเบอร์ที่ผสมผสานเครื่องมือที่มีพลังงาน AI อาจทําให้การโจมตีเหล่านี้ยากยิ่งขึ้นในการตรวจจับ ลองนึกภาพบัญชีผีที่ขับเคลื่อนด้วย AI ที่สามารถโต้ตอบกับผู้ใช้ได้อย่างอิสระปรับแต่งข้อความฟิชชิ่งตามการโต้ตอบแบบเรียลไทม์และการตอบกลับส่วนบุคคล สิ่งนี้อาจนําไปสู่คลื่นการกระจายมัลแวร์ที่น่าเชื่อถือมากขึ้นซึ่งแทบจะเป็นไปไม่ได้เลยที่จะแยกความแตกต่างจากกิจกรรมที่ถูกกฎหมาย
การเข้าใจและบรรเทาความเสี่ยงเหล่านี้เป็นสิ่งสำคัญในโลกที่การยอมรับสกุลเงินดิจิตอลเพิ่มขึ้น, และแพลตฟอร์มดิจิตอลกำลังกลายเป็นส่วนสำคัญของหลายด้านของชีวิต
ผู้ใช้งานต้องระมัดระวังแพลตฟอร์มต้องเร่งความปลอดภัยและความร่วมมือระหว่างผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์, นักพัฒนาโปรแกรม และผู้ที่เกี่ยวข้องทั้งหมดเพื่อให้มั่นใจในอนาคตดิจิทัลที่ปลอดภัย