โทรจัน Ousaban หลอกผู้ใช้ธนาคารในสเปนและโปรตุเกสด้วยไฟล์ PDF ปลอม
Ousaban โทรจันธนาคารจากบราซิลกำลังโจมตีผู้ใช้ Windows ในสเปนและโปรตุเกส ใช้ฟิชชิ่งและซ่อนเพย์โหลดในรูปภาพเพื่อขโมยข้อมูลธนาคาร
นักวิจัยด้านความปลอดภัยจาก Fortinet FortiGuard Labs เปิดเผยถึงแคมเปญมัลแวร์ที่กำหนดเป้าหมายผู้ใช้ระบบปฏิบัติการ Windows ในประเทศสเปนและโปรตุเกส โดยใช้โทรจันธนาคารที่เรียกว่า Ousaban ซึ่งเริ่มตรวจจับได้ในเดือนพฤษภาคม 2569 วิธีการโจมตีเริ่มต้นด้วยการส่งอีเมลฟิชชิ่งที่แนบไฟล์ PDF ปลอมที่ถูกออกแบบมาให้ดูเหมือนไฟล์เสียหาย.
เมื่อผู้ใช้เปิดไฟล์ PDF มัลแวร์จะตรวจสอบว่าผู้ใช้อยู่ในประเทศเป้าหมายหรือไม่ จากนั้นจะซ่อนเพย์โหลดจริงไว้ภายในรูปภาพ ซึ่งเป็นเทคนิคที่ช่วยหลบเลี่ยงการตรวจจับจากซอฟต์แวร์รักษาความปลอดภัย โดยเป้าหมายสูงสุดของโทรจันนี้คือการขโมยข้อมูลล็อกอินธนาคารของผู้ใช้.
กลไกการทำงานของ Ousaban
แคมเปญนี้เริ่มต้นด้วยการที่เหยื่อได้รับอีเมลฟิชชิ่งที่มีไฟล์ PDF แนบมา ซึ่งเมื่อเปิดดูจะแสดงข้อความว่าไฟล์เสียหาย แต่จริงๆ แล้วไฟล์นี้มีสคริปต์ที่ตรวจสอบตำแหน่งทางภูมิศาสตร์ของเหยื่อ หากผู้ใช้ไม่ได้อยู่ในสเปนหรือโปรตุเกส มัลแวร์จะหยุดทำงานทันทีเพื่อไม่ให้ถูกตรวจพบ จากนั้นเมื่อระบบตรวจสอบว่าผู้ใช้อยู่ในพื้นที่เป้าหมาย โทรจันจะดาวน์โหลดเพย์โหลดที่ซ่อนอยู่ในรูปภาพและติดตั้งลงในเครื่องเหยื่อ.
เทคนิคการซ่อนเพย์โหลดในรูปภาพ
Ousaban ใช้วิธีซ่อนโค้ดที่เป็นอันตรายภายในไฟล์ภาพโดยใช้เทคนิคที่เรียกว่า steganography ซึ่งช่วยให้มัลแวร์หลบเลี่ยงการตรวจจับโดยซอฟต์แวร์แอนติไวรัสทั่วไปได้เป็นอย่างดี เนื่องจากไฟล์ภาพมักถูกมองว่าไม่เป็นอันตราย เมื่อเพย์โหลดถูกถอดรหัสออกมา โทรจันจะเชื่อมต่อไปยังเซิร์ฟเวอร์ควบคุมเพื่อรับคำสั่งและดำเนินการขโมยข้อมูลธนาคาร.
เป้าหมายคือข้อมูลธนาคารของผู้ใช้
เป้าหมายหลักของโทรจัน Ousaban คือการขโมยข้อมูลล็อกอินธนาคารของผู้ใช้ในสเปนและโปรตุเกส ซึ่งอาจนำไปสู่การสูญเสียทางการเงินอย่างร้ายแรง ผู้ใช้ธนาคารในพื้นที่ดังกล่าวจึงควรเพิ่มความระมัดระวังเป็นพิเศษเมื่อได้รับอีเมลที่ไม่ทราบแหล่งที่มา โดยเฉพาะอย่างยิ่งไฟล์ PDF ที่แจ้งว่าเสียหายหรือมีรูปแบบผิดปกติ.
แนวทางป้องกันจากภัยคุกคามนี้
เพื่อป้องกันตนเองจากโทรจัน Ousaban และมัลแวร์ประเภทเดียวกัน ผู้ใช้ควรตรวจสอบความน่าเชื่อถือของอีเมลก่อนเปิดไฟล์แนบทุกครั้ง และควรใช้ซอฟต์แวร์รักษาความปลอดภัยที่อัปเดตอยู่เสมอ รวมถึงเปิดใช้งานระบบป้องกันฟิชชิ่งบนเบราว์เซอร์ นอกจากนี้หากพบอีเมลที่น่าสงสัย ควรลบทิ้งทันทีและแจ้งให้ทีมรักษาความปลอดภัยขององค์กรทราบ.
Reference
The Hacker News
หากสนใจโซลูชันความปลอดภัยไซเบอร์หรือบริการจัดการระบบไอที
💬 Line @monsteronline
☎️ Tel 02-026-6664
📩 Email [email protected]
🌐 ดูสินค้าเพิ่มเติม mon.co.th
แชทผ่าน LINEดูสินค้าทั้งหมด