Linus Tech Tips เผย โดนมัลแวร์หลอกว่าเป็นไฟล์ PDF ขโมย session cookies แอคเคาท์ YouTube

By: nismod

on 31 March 2023 - 17:19 Tags:

Topics:

YouTube

Security

วันที่ 23 มีนาคมที่ผ่านมา ช่อง YouTube สายไอทีชื่อดังอย่าง Linus Tech Tips และช่องในเครือถูกแฮ็ก, ซ่อนวิดีโอ (unlisted) และถูกนำแชนแนลไปไลฟ์วิดีโอ Elon Musk ที่พูดเรื่องคริปโต พร้อม QR สแกมไปยังเว็บสแกมคริปโต

หลังจากกู้แอคเคาท์กลับมาได้ Linus Sebastian เจ้าของแชนแนล ทำคลิปเล่าว่า ตัวแอคเคาท์มีการใช้งาน 2FA อยู่แล้ว แฮกเกอร์ก็ไม่ได้รหัสผ่านไป แต่สาเหตุที่โดนแฮ็ก เพราะทีมงานไปเปิดไฟล์ PDF ปลอมที่เป็นข้อเสนอสปอนเซอร์ ก่อนที่ตัวเครื่องจะติดมัลแวร์ และถูกขโมย session cookies ของ YouTube ไป

ขณะเดียวกันช่อง The PC Security ที่ได้รับอีเมลข้อเสนอสปอนเซอร์และไฟล์ PDF คล้ายๆ กัน ทำคลิปอธิบายบอกว่าตัวไฟล์มีขนาด 770MB (เมลที่ติดต่อให้ไปดาวน์โหลดผ่าน Dropbox) เป็นไฟล์ .scr สำหรับ screensaver ซึ่งด้วยขนาดไฟล์ขนาดนี้ Antivirus ไม่น่าสแกนได้อัตโนมัติ แต่ภายในไฟล์เป็น empty space เสียเยอะ

ที่มา - Linus Tech Tips, The PC Security

Hiring! บริษัทที่น่าสนใจ

Bangmod Enterprise

The leader in Cloud Server and Hosting in Thailand.

CLEVERSE

Cleverse is a Venture Builder. Our team builds several tech companies.

H LAB

Re-engineering healthcare systems through intelligent platforms and system design.

Comments

By: zyzzyva

on 31 March 2023 - 17:38 #1281311

สรุปแล้วไฟล์เป็น .pdf หรือ .scr ครับ เพราะ .pdf นี้น่ากลัวมากเพราะผมเปิดบ่อย ส่วนถ้าเจอ .scr คงลบทิ้งเลยเพราะไม่คุ้นนามสกุลนี้

By: Ford AntiTrust

on 31 March 2023 - 17:59 #1281312 Reply to:1281311

ไฟล์ PDF ที่นามสกุลคือ .PDF.SCR

By: zyzzyva

on 31 March 2023 - 18:00 #1281313 Reply to:1281312

ขอบคุณครับ

By: Ford AntiTrust

on 31 March 2023 - 18:03 #1281314 Reply to:1281312

เสริมอีกนิด ไฟล์แบบ SCR มันสามารถเขียนโปรแกรมเป็น script C# ลงไปเพื่อทำงานที่เครื่องได้เหมือน .EXE

By: arth

on 31 March 2023 - 19:01 #1281318 Reply to:1281314

SCR จริงๆคือ EXE เลยนี่ครับ
อย่างใน clip เปิด file มาดูแบบ binary 2 bytes แรกคือ MZ เลยครับ
https://en.m.wikipedia.org/wiki/DOS_MZ_executable

By: Ford AntiTrust

on 31 March 2023 - 21:10 #1281328 Reply to:1281318

ใช่น่ะ เพราะ OS มันมองเป็น executable file จริงๆ มีอีกหลายตัวแหละ แต่ในข่าวมุ่งที่ scr เป็นหลัก (เปลี่ยน icon ให้เป็น PDF)

By: gjkllb01

on 31 March 2023 - 19:08 #1281319

พลาดนะนี่ ตัวไอคอน มันปลอมกันได้
จริงๆควรเรียงโฟลเดอร์แบบ Details ก็จะเห็นประเภทไฟล์ (Type) ที่แท้จริง

By: PH41

on 31 March 2023 - 19:31 #1281320

Windows only?

By: mr_tawan

on 31 March 2023 - 20:55 #1281327 Reply to:1281320

only ครับ

9tawan.net บล็อกส่วนตัวฮับ

By: icez

on 31 March 2023 - 20:53 #1281325

Linus Tech Tips เผย โดนมัลแวร์จาก PDF ขโมย

Linus Tech Tips เผย โดนมัลแวร์จาก PDF "ปลอม" ขโมย

ควรเพิ่มคำว่าปลอมนะครับ เพราะมันไม่ใช่ไฟล์ pdf แค่ปลอมให้ดูเหมือน pdf เฉยๆ

By: best

on 31 March 2023 - 20:54 #1281326

anti virus เอาไม่อยู่เหรอครับ

By: deaknaew on 31 March 2023 - 21:45 #1281329 Reply to:1281326

เพราะแกล้งทำให้ไฟล์ใหญ่เลยไม่ auto scan

By: may2190 on 1 April 2023 - 14:18 #1281355

น่ากลัวนะ ถ้าโดนลบช่องขึ้นมาสำหรับบางคนคือทั้งชีวิต และเป็นแหล่งรายได้หลัก เอาช่องกลับมาไม่ได้คือ จบเลยๆ

By: iamfalan

on 1 April 2023 - 17:05 #1281369 Reply to:1281355

จริงๆของ linus ก็โดนลบคลิปรัวๆ นะครับ แต่โดยปกติของระบบพวกนี้ มันจะไม่ลบจริงๆอยู่แล้ว ซึ่งกรณีนี้ก็กู้กลับได้ (ช่องใหญ่ด้วยแหละ)
ซึ่งตรงนี้ linus comment ว่า “เห้ย เวลา user ทำพฤติกรรมแปลกๆ อย่างลบคลิปทั้งหมดรัวๆ ช่วยยืนยันตัวตนเพื่อเมคชัวร์ อย่างให้ใส่ password อีกรอบได้ไหม”

Main menu