เนียนกริบ! ปลอม Booking.com พ่วงจอฟ้ามรณะ หลอกโรงแรมลงมัลแวร์ DCRat ยึดข้อมูลเกลี้ยงทั่วยุโรป

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ตรวจพบแคมเปญการโจมตีที่มีความซับซ้อน ซึ่งพุ่งเป้าไปที่ ภาคธุรกิจโรงแรมและการท่องเที่ยวในยุโรป (European Hospitality Sector) โดยผู้ไม่หวังดีได้ใช้กลยุทธ์การหลอกลวงที่หลากหลายเพื่อแพร่กระจายมัลแวร์ประเภท Remote Access Trojan (RAT) ที่รู้จักกันในชื่อ DCRat (หรือ DarkCrystal RAT)

วิธีการโจมตี: การปลอมตัวเป็น Booking.com

รูปแบบการโจมตีหลักเริ่มต้นจากการส่งอีเมลฟิชชิ่งที่แนบเนียน โดยผู้โจมตีจะปลอมตัวเป็นลูกค้าผ่านแพลตฟอร์ม Booking.com หรือส่งอีเมลโดยตรงไปยังแผนกต้อนรับของโรงแรม เนื้อหาในอีเมลมักจะระบุถึงปัญหาเกี่ยวกับการจองที่พัก เช่น:
    •    การขอรายละเอียดเพิ่มเติมเกี่ยวกับห้องพัก
    •    การแจ้งว่ามีปัญหาเรื่องการชำระเงิน
    •    การส่งไฟล์เอกสารประกอบการจอง (ซึ่งจริงๆ แล้วเป็นไฟล์มัลแวร์)

เมื่อพนักงานโรงแรมคลิกที่ลิงก์หรือเปิดไฟล์แนบที่อ้างว่าเป็นเอกสารสำคัญ ระบบจะถูกนำไปสู่กระบวนการติดตั้งมัลแวร์ DCRat ทันที

กลโกงหน้าจอฟ้าปลอม (Fake BSOD Scam)

นอกจากการใช้ฟิชชิ่งแบบดั้งเดิมแล้ว นักวิจัยยังพบเทคนิคการหลอกลวงที่น่าสนใจคือการใช้ "หน้าจอฟ้ามรณะปลอม" (Fake Blue Screen of Death - BSOD) หน้าเว็บที่เป็นอันตรายจะแสดงภาพที่เลียนแบบอาการคอมพิวเตอร์ขัดข้องของ Windows เพื่อให้เหยื่อเกิดความตกใจ

ในหน้าจอดังกล่าวจะปรากฏคำแนะนำให้เหยื่อแก้ไขปัญหาด้วยตนเอง โดยการคัดลอกชุดคำสั่ง (มักเป็น PowerShell script) แล้วนำไปวางในหน้าต่างรันคำสั่งของเครื่อง การทำตามขั้นตอนดังกล่าวจะส่งผลให้ระบบดาวน์โหลดและรันมัลแวร์ DCRat เข้าสู่เครื่องโดยตรง ซึ่งเป็นวิธีการหลบเลี่ยงการตรวจจับของซอฟต์แวร์ความปลอดภัยที่มักจะตรวจจับไฟล์แนบ แต่ไม่ได้ตรวจจับชุดคำสั่งที่ผู้ใช้รันด้วยตัวเอง

คุณสมบัติของมัลแวร์ DCRat

DCRat เป็นมัลแวร์ที่มีราคาถูกและหาซื้อได้ง่ายในตลาดมืด แต่มีประสิทธิภาพสูงในการจารกรรมข้อมูล โดยมีคุณสมบัติหลักดังนี้:
    •    การขโมยข้อมูล (Information Stealing): สามารถดึงข้อมูลรหัสผ่านที่บันทึกไว้ในเบราว์เซอร์, คุกกี้ และข้อมูลเซสชันการล็อกอิน
    •    การเฝ้าติดตามพฤติกรรม: มีฟังก์ชันการดักจับการกดแป้นพิมพ์ (Keylogging) และการบันทึกภาพหน้าจอ (Screenshotting)
    •    การควบคุมระยะไกล: แฮกเกอร์สามารถเข้าถึงและจัดการไฟล์ภายในเครื่อง, สั่งรันโปรแกรมเพิ่มเติม หรือแม้กระทั่งควบคุมกล้องและไมโครโฟน
    •    โครงสร้างแบบ Modular: สามารถเพิ่มฟีเจอร์ใหม่ๆ เข้าไปได้ตามความต้องการของผู้โจมตี

ผลกระทบต่อภาคโรงแรม

เป้าหมายของแฮกเกอร์คือการเข้าถึงระบบบริหารจัดการส่วนหน้า (Property Management Systems - PMS) ของโรงแรม หากแฮกเกอร์สามารถยึดเครื่องพนักงานได้ พวกเขาจะสามารถ:
    1.    ขโมยข้อมูลบัตรเครดิตและข้อมูลส่วนบุคคลของแขกผู้เข้าพัก
    2.    เข้าควบคุมบัญชี Booking.com ของโรงแรมเพื่อไปหลอกลวงลูกค้าต่อ (เช่น การแชทไปหาลูกค้าจริงเพื่อขอให้ชำระเงินใหม่)
    3.    นำข้อมูลที่ได้ไปขายต่อในตลาดมืดหรือใช้ในการเรียกค่าไถ่

บทวิเคราะห์เชิงเทคนิค

แคมเปญนี้แสดงให้เห็นถึงการใช้โครงสร้างพื้นฐานที่หลากหลาย เช่น การใช้ไฟล์ JavaScript ที่มีการเข้ารหัสลับ (Obfuscated JS), ไฟล์ HTA และการใช้ CDN ถูกกฎหมายในการโฮสต์มัลแวร์เพื่อหลีกเลี่ยงบัญชีดำ (Blacklist) ของระบบรักษาความปลอดภัย

สรุปสาระสำคัญสำหรับบทความ:

    •    เป้าหมาย: โรงแรมและบริการท่องเที่ยวในยุโรป
    •    มัลแวร์: DCRat (DarkCrystal RAT)
    •    กลวิธี: อีเมลปลอม Booking.com และหน้าเว็บหลอกว่าเป็นหน้าจอฟ้า (BSOD) เพื่อให้เหยื่อรันคำสั่ง PowerShell
    •    จุดประสงค์: ขโมยข้อมูลลูกค้าและเข้าควบคุมระบบจองที่พัก

Reference : https://securityaffairs.com/186606/cyber-crime/fake-booking-com-lures-and-bsod-scams-spread-dcrat-in-european-hospitality-sector.html