ระวัง! เทคนิค Paste and Run หลอกให้ผู้ใช้งานติดมัลแวร์ด้วยตัวเอง

1. เริ่มแรกแฮกเกอร์จะเทคนิค Paste and Run ของกลุ่ม Mocha Manakin มี 2 รูปแบบหลักคือ
   • Fix Access หลอกให้เหยื่อคิดว่าต้อง แก้ไขสิทธิ์การเข้าถึง เพื่อเปิดเอกสารหรือทำการติดตั้งซอฟต์แวร์ โดยจะแสดงข้อความหรือหน้าต่างหลอกให้คัดลอกคำสั่งไปวางและรันเอง
   • Fake CAPTCHA ใช้ CAPTCHA ปลอมเพื่อหลอกให้เหยื่อ ยืนยันตัวตนว่าเป็นมนุษย์ ด้วยขั้นตอนปลอม ก่อนจะจบด้วยการให้คัดลอกคำสั่งไปวาง ซึ่งจริง ๆ แล้วเป็นการรันมัลแวร์บนเครื่องตัวเอง
2. เมื่อผู้ใช้คลิกปุ่ม Fix หรือ Verify ระบบจะคัดลอกคำสั่ง PowerShell ไปยังคลิปบอร์ดโดยอัตโนมัติและจะแนะนำให้ผู้ใช้งานวางและรันคำสั่งนั้นด้วยตนเอง คำสั่งที่ถูกวางนี้จะไปดาวน์โหลดไฟล์ ZIP ที่มี node[.]exe และโค้ดมัลแวร์ NodeInitRAT
3. จากนั้นคำสั่งจะสั่งให้รัน node[.]exe พร้อม Inject โค้ด JavaScript อันตรายเข้าไปใน Process ผ่าน Command-line ทำให้เกิดการรัน RAT โดยไม่ต้องเขียนไฟล์โค้ดแยกให้ตรวจจับได้ง่าย

• Awareness Training เกี่ยวกับรูปแบบการโจมตีให้กับบุคลากรในองค์กร เช่น Social Engineering, Paste and Run และ Clickfix
• จำกัดการเข้าถึง Powershell และ CMD ให้เฉพาะผู้ใช้งานที่จำเป็นต้องใช้เท่านั้น
• หมั่นตรวจสอบสิทธิ์ของผู้ใช้งานในระบบ และใช้หลักการ Least Privilege จำกัดสิทธิ์เท่าที่จำเป็นในการทำงานเท่านั้น
• อัปเดตซอฟต์แวร์ป้องกันไวรัสและป้องกันมัลแวร์อยู่เสมอเพื่อตรวจจับและบล็อกภัยคุกคาม
• ทำการ Full-scan ที่ Endpoint ทุก ๆ สัปดาห์ และเปิดฟีเจอร์ป้องกันแบบ Real-time เพื่อป้องกันไฟล์อันตราย

แหล่งอ้างอิง

https://securityonline.info/mocha-manakin-new-threat-group-uses-paste-and-run-to-deploy-custom-nodejs-rat/