ขยี้ตาให้ดี Google ขึ้น Ads จากแฮกเกอร์ ลิ้งก์ไปโหลดโปรแกรม GIMP ปลอม

ขยี้ตาให้ดี Google ขึ้น Ads จากแฮกเกอร์ ลิ้งก์ไปโหลดโปรแกรม GIMP ปลอม

หมวดหมู่: บทความทั่วไปข่าวไอที

ขยี้ตาให้ดี Google ขึ้น Ads จากแฮกเกอร์ ลิ้งก์ไปโหลดโปรแกรม GIMP ปลอม

 

โปรแกรมฟรีทั้งหลาย คือแหล่งล่อเหยื่อชั้นดีของบรรดามิจฉาชีพ ไม่ใช่ว่าโปรแกรมไม่ดีนะ แต่พอไม่มีขั้นตอนการสมัครสมาชิกหรือจ่ายเงิน เราก็ระวังตัวกันน้อยลง ซึ่งล่าสุดใครจะไปคิดว่า เว็บที่โฆษณาผ่าน Google Ad จะกลายเป็นมัลแวร์ (Malware) ขโมยข้อมูลเฉย

เมื่อช่วงปลายเดือน ตุลาคม พ.ศ. 2565 (ค.ศ. 2022) อ้างอิงตามเวลาแหล่งข่าว ถ้าใครเสิร์ชหาโปรแกรม GIMP ซึ่งเป็นหนึ่งในโปรแกรมฟรียอดนิยม URL ลิ้งก์แรกบน Google Search จะเป็น โฆษณา (Ad) ของโปรแกรม GIMP.org ที่เหมือนของจริงทุกอย่างไปจนถึง URL เว้นแต่ปลายทางเป็นหน้าเว็บฟิชชิ่ง (Phishing) ที่พาเราไปโหลดไฟล์ 'Setup.exe' ซึ่งก็คือมัลแวร์นั่นเอง

ผู้ใช้งานเว็บไซต์ Reddit ที่ใช้ชื่อว่า "ZachIngram04" โชว์ว่าลิ้งก์ GIMP.org บน Google Ads ในช่วงที่เป็นประเด็น พาผู้ใช้ไป URL Dropbox เพื่อให้ดาวน์โหลดมัลแวร์ แต่หลังจากนั้นไม่นานก็เปลี่ยนเป็นเว็บไซต์ที่เนียนขึ้นในชื่อว่า "gilimp.org" แทน ส่วนทาง BleepingComputer ก็เจอเว็บไซต์ที่คาดว่าอยู่ในแคมเปญนี้ โดยมีชื่อว่า "gimp.monster"

สิ่งที่น่าสนใจของกรณีนี้คือ ทำไม Google Ads ถึงโชว์เว็บที่เป็นมัลแวร์เฉยเลย?

ผู้ใช้ Reddit ที่ชื่อว่า RawPacket คาดเดาได้อย่างน่าสนใจว่า มิจฉาชีพ อาจจะใช้เทคนิค IDN homograph ที่สร้าง URL ที่แสดงด้วยการผสมอักษรแบบ Unicode โดยใช้อักษรซิริลลิก (Cyrillic) ผสมเข้าไปใน URL "gimp.org" ให้เหมือนกับอักษรละติน แต่จริง ๆ แล้ว Puny code ก็คือ "้http://xn--gmp-jhd.org/" แต่ข้อสันนิษฐานนี้ ไม่ได้ตรงกับเคส "gilimp.org" กับ "gimp.monster" ที่ได้พบเจอกัน

การสร้างโฆษณาบน Google Ads สามารถใช้ URL ที่แตกต่างกันได้ โดย URL ที่แสดง ไม่จำเป็นต้องตรงกับ Landing URL ที่ผู้ใช้คลิก เพื่อจุดประสงค์ให้คลิกไปยังส่วนเฉพาะของเว็บไซต์ตามที่ผู้ซื้อโฆษณาต้องการ แต่ทั้ง 2 ลิ้งก์ต้องอยู่บนเว็บไซต์เดียวกันเท่านั้น จึงเป็นคำถามว่า มิจฉาชีพมีทริคในการหลบ Google อย่างไร?

นอกจากตัว URL บน Google Ads แล้ว ทาง BleepingComputer ได้สืบพบว่ามัลแวร์ที่ถูกปล่อยมาในเคสนี้คือ โทรจันที่ชื่อว่า VIDAR โดยข้อมูลที่จะถูกโทรจันตัวนี้ขโมยก็ได้แก่

ข้อมูลรหัสผ่าน, คุกกี้, ประวัติการใช้งาน, ข้อมูลบัตรเครดิต บนเว็บเบราว์เซอร์ฮิตทั้งหลาย
กระเป๋าเงินคริปโต
ข้อมูล Regular Expression
ข้อมูล Telegram สำหรับเวอร์ชัน Windows
ข้อมูลจากแอปโอนไฟล์ เช่น WINSCP, FTP, FileZilla
ข้อมูลจากแอปส่งอีเมล
อย่างไรก็ตามเคสนี้ได้หายไปจาก Google Ads แล้ว แต่เวลาโหลดโปรแกรมอะไร โดยเฉพาะโปรแกรมฟรี ก็ลองสำรวจกันดีๆ ก่อน

 

ที่มา: 

ไอทีจีเนียส เอ็นจิเนียริ่ง (IT Genius Engineering) ให้บริการด้านไอทีครบวงจร ทั้งงานด้านการอบรม (Training) สัมมนา รับงานเขียนโปรแกรม เว็บไซต์ แอพพลิเคชั่น งานออกแบบกราฟิก และงานด้าน E-Marketing ที่กำลังได้รับความนิยมในปัจจุบัน ทั้ง SEO , PPC , และ Social media marketting

ติดต่อเราเพื่อสอบถามผลิตภัณฑ์ ขอราคา หรือปรึกษาเรื่องไอที ได้เลยค่ะ

Line : @itgenius (มี @ ด้านหน้า) หรือ https://lin.ee/xoFlBFe
Facebook : https://www.facebook.com/itgeniusonline
Tel : 02-570-8449 มือถือ 088-807-9770 และ 092-841-7931
Email : contact@itgenius.co.th

แนะนำหลักสูตรอบรมที่น่าสนใจ

user
โดย Bella
เข้าชม 960 ครั้ง

คำค้นหา : google adsmalwareขโมยข้อมูลมัลแวร์โปรแกรมฟรีลิ้งก์โหลดโปรแกรมแฮกเกอร์คือโปรแกรม gimpลงโฆษณาบนกูเกิ้ลโทรจัน vidar