สายฟรีต้องระวัง! พบกว่า 3,000 คลิปบน YouTube หลอกแจก crack แฝงมัลแวร์

dailygizmoTech & Innovation1 minute ago1 Views

THE SUMMARY:

Check Point พบเครือข่าย “YouTube Ghost Network” เผยแพร่มัลแวร์ผ่านการหลอกแจกแคร็กซอฟต์แวร์และแฮ็กวิดีโอเกมบนคลิป YouTube มากกว่า 3,000 คลิป

มิจฉาชีพจะอาศัยความอยากได้ของซอฟต์แวร์ “ฟรี” อย่างโปรแกรมแคร็ก ฟรีแวร์ เครื่องมือโกง หรือแฮ็กเกม กลายเป็นช่องทางให้เครือข่ายหลอกลวงนี้เชื่อมกับผู้ใช้ได้ง่ายขึ้น ทางนักวิจัยของ ของ Check Point พบว่า Ghost Network เริ่มปฏิบัติการตั้งแต่ปี 2021 และกิจกรรมเพิ่มขึ้นสามเท่าในปี 2025

กลวิธีของเครือข่ายนี้จะผสมผสานการหลอกลวงทางสังคมกับการแอบแฝงทางเทคนิค: แฮกเกอร์จะอัปโหลดวิดีโอที่ดูเหมือนน่าเชื่อถือ จากนั้นแนบลิงก์ไปยังที่ไฟล์เก็บถาวรบนบริการแชร์ไฟล์หรือเว็บโฮสต์ เช่น Google Sites, MediaFire, Dropbox เป็นต้น ไฟล์เหล่านี้มักถูกใส่รหัสผ่านเพื่อหลบการสแกนของแอนตี้ไวรัส จากนั้นเหยื่อจะถูกชักชวนให้ “ปิด Windows Defender ชั่วคราว” ก่อนติดตั้ง ซึ่งเป็นการปลดการป้องกันของตนเองก่อนเรียกติดตั้งมัลแวร์

กลุ่มแฮ็กเกอร์เพิ่มความน่าเชื่อถือ ด้วยการ ใช้บัญชีปลอมและบัญชีที่แฮ็กมาใช้กดไลก์ คอมเมนต์เชิงบวก และโพสต์ชุมชน ทำให้เกิด “หลักฐานทางสังคม” ปลอม ๆ ที่หลอกให้ผู้ชมเชื่อว่าเนื้อหาน่าเชื่อถือ แม้ YouTube จะลบวิดีโอหรือช่องบางรายการออกไปแล้ว แต่ ด้วยการทำงานแบบเครือข่ายและมีการเปลี่ยนบัญชีอย่างรวดเร็วก็ทำให้กลลวงแบบนี้กลับมาทำงานต่อได้อีก

Check Point ระบุว่ามัลแวร์ที่แพร่กระจายผ่านเครือข่ายนี้ส่วนใหญ่ เน้นขโมยข้อมูล เช่น Lumma Stealer, Rhadamanthys, StealC และ RedLine เมื่อรันแล้วจะขโมยรหัสผ่าน ข้อมูลในเบราว์เซอร์ และข้อมูลสำคัญอื่น ๆ แล้วส่งกลับไปยังเซิร์ฟเวอร์ของแฮ็กเกอร์

โครงสร้างของเครือข่ายยังอาศัยบทบาทเฉพาะ: บัญชีบางบัญชีทำหน้าที่อัปโหลดวิดีโออันตราย บัญชีอื่นโพสต์ลิงก์ดาวน์โหลด และมีอีกกลุ่มหนึ่งคอยเพิ่มคอมเมนต์และไลก์เพื่อเสริมความน่าเชื่อถือ เมื่อลบบัญชีหนึ่ง ก็จะมีบัญชีใหม่เข้ามาแทนที่อย่างรวดเร็ว ทำให้การลบบัญชีเป็นการแก้ปัญหาแค่ชั่วคราว

Check Point ได้สืบสวน 2 แคมเปญหลัก Check Point พบรายละเอียดที่น่าสนใจดังนี้:

แคมเปญแรกเกี่ยวกับ Rhadamanthys ซึ่งแพร่ผ่านช่องที่ถูกบุกรุกชื่อ @Sound_Writer (ผู้ติดตามเกือบ 10,000 คน) — ผู้โจมตีอัปโหลดวิดีโอเกี่ยวกับคริปโตและลิงก์ฟิชชิ่งบน Google Sites ชักชวนให้ดาวน์โหลดไฟล์เก็บถาวรที่มีตัวติดตั้งซ่อนตัวอยู่ และแนะนำให้ปิด Windows Defender ก่อนติดตั้ง
แคมเปญที่สองใช้ช่องใหญ่กว่า @Afonesio1 (ราว 129,000 คน) อัปโหลดซอฟต์แวร์ “แคร็ก” เช่น Adobe Photoshop, Premiere Pro และ FL Studio โดยวิดีโอบางคลิปมียอดชมมากกว่า 291,000 ครั้ง พร้อมคอมเมนต์ชื่นชมมากมาย ไฟล์ที่แจกเป็นไฟล์เก็บถาวรที่มีรหัสผ่านและตัวติดตั้งใช้ HijackLoader เพื่อดรอปเพย์โหลดของ Rhadamanthys ซึ่งเชื่อมต่อกับเซิร์ฟเวอร์ควบคุมที่เปลี่ยนสลับบ่อยครั้งเพื่อเลี่ยงการตรวจจับ

นอกจากนี้ แม้ผู้ใช้จะไม่ได้ติดตั้งไฟล์ ก็มีความเสี่ยงอาจโดนหลอกให้เข้าไปยังเว็บฟิชชิ่งหรือบริการโฮสต์ไฟล์อาจเจอสคริปต์อันตรายหรือหน้าขอข้อมูลปลอมที่ล่อให้กรอกข้อมูลล็อกอิน การคลิกลิงก์ไม่ปลอดภัยเพียงครั้งเดียวก็อาจทำให้ข้อมูลเข้าสู่ระบบรั่วไหลได้ก่อนการติดตั้งซอฟต์แวร์ใด ๆ

ข้อควรระวังเบื้องต้น

ใครที่ไม่อยากตกเป็นเหยื่อ แนะนำให้ระวังตัวและป้องกันตัวเองเบื้องต้นดังนี้
• หลีกเลี่ยงการดาวน์โหลดซอฟต์แวร์จากลิงก์ในคอมเมนต์หรือโพสต์ที่ไม่น่าเชื่อถือโดยเฉพาะกรณีที่อ้างว่าเป็น “แคร็ก” หรือ “ฟรี”
• ไม่ปิดระบบป้องกันเช่น Windows Defender ตามคำแนะนำจากลิงก์ภายนอก
• ตรวจสอบความน่าเชื่อถือของช่องและผู้เผยแพร่ รวมถึงคอมเมนต์และไลก์อาจเป็นของปลอมได้
• ใช้ซอฟต์แวร์จากแหล่งทางการและสำรองข้อมูลสำคัญอยู่เสมอ

ที่มา foxnews / checkpoint