อาชญากรไซเบอร์ใช้ฟีเจอร์โฆษณา X เพื่อเปิดตัวการหลอกลวงทางคริปโตที่ซับซ้อน

นักวิเคราะห์ด้านความมั่นคงไซเบอร์ได้ค้นพบกลโกงใหม่ที่อันตรายซึ่งใช้ประโยชน์จากระบบการแสดง URL โฆษณาของ X (เดิมคือ Twitter) เพื่อหลอกลวงผู้ใช้ให้ตกเป็นเหยื่อของการโปรโมท cryptocurrency ปลอม

นักวิจัยด้านภัยคุกคามที่ Silent Push เปิดเผยว่า ผู้โจมตีได้ปรับเปลี่ยนฟังก์ชันการแสดงตัวอย่าง URL โฆษณาของ X เพื่อแสดงโดเมนที่เชื่อถือได้ เช่น CNN.com แม้ว่า ลิงก์ที่แท้จริงจะนำเหยื่อไปยังเว็บไซต์หลอกลวงที่ปลอมตัวเป็น Apple และโปรโมทธุรกิจการขายล่วงหน้า "Apple iToken" crypto ที่ปลอม

โครงการนี้ใช้ประโยชน์จากวิธีที่ X สร้างการ์ดตัวอย่างลิงก์ เมื่อมีการโพสต์ URL ในโฆษณา บอทของ X จะดึงข้อมูลเมตาดาต้าผ่านสตริงตัวแทนผู้ใช้ (User Agent) แบบคงที่ ผู้โจมตีจะกำหนดเซิร์ฟเวอร์เว็บของตนให้รับรู้ตัวแทนผู้ใช้ดังกล่าวและเปลี่ยนเส้นทางบอทไปยังเว็บไซต์ที่ถูกต้อง (เช่น cnn[.]com) โดยสร้างตัวอย่างที่สะอาด แต่เมื่อผู้ใช้ทั่วไปคลิก จะถูกเปลี่ยนเส้นทางไปยังโดเมนหลอกลวงเงียบๆ เช่น ipresale[.]world.

ในบางกรณี ผู้โจมตีใช้บริการย่อ URL เช่น bit[.]ly ซึ่งในตอนแรกชี้ไปที่เว็บไซต์ที่เชื่อถือได้สำหรับการสร้างตัวอย่าง แต่จะเปลี่ยนเป็นหน้าอันตรายเมื่อโฆษณาออกอากาศ

ลิงก์ phishing เหล่านี้มักจะผ่านการเปลี่ยนเส้นทางหลายครั้ง (รวมถึง t[.]co) ก่อนที่จะไปถึงเว็บไซต์หลอกลวงที่ออกแบบมาอย่างมืออาชีพ เหยื่อจะถูกแสดงการรับรองปลอมจาก CEO ของ Apple Tim Cook และถูกEncourage ให้วางเงินในกระเป๋าเงิน cryptocurrency จำนวน 22 กระเป๋าทั่วเครือข่าย Bitcoin, Ethereum และ Solana

การสอบสวนเพิ่มเติมค้นพบว่า มีโดเมนที่เกี่ยวข้องเกือบ 90 โดเมนที่ใช้งานตั้งแต่ปี 2024 ผู้โจมตีใช้โครงสร้างพื้นฐานที่มีความสอดคล้องกัน – ไฟล์ที่แชร์ ไอคอน ที่อยู่ IP (เช่น 51.15.17[.]214) และเซิร์ฟเวอร์ชื่อ (ns1.chsw.host) – เพื่อดำเนินการเครือข่ายหลอกลวง

คลื่นที่สองของแคมเปญเริ่มขึ้นผ่านโฆษณาใหม่ X ในวันที่ 5 พฤษภาคม 2025 โดยเปลี่ยนเส้นทางผู้ใช้ผ่าน chopinkos[.]digital ไปยัง itokensale[.]live โดยมีเนื้อหาหลอกลวงที่เกือบเหมือนกันและการแอบอ้างแบรนด์ Apple

บางโดเมนที่เกี่ยวข้องยังผูกพันกับพื้นที่ที่น่าสงสัย .ru แม้ว่าการระบุเฉพาะไปที่กลุ่มใดกลุ่มหนึ่งยังไม่ได้รับการยืนยัน

เหตุการณ์นี้ชี้ให้เห็นถึงความซับซ้อนของการโกงโฆษณาในโซเชียลมีเดียยุคใหม่และความเสี่ยงของแพลตฟอร์มที่พึ่งพาการเปลี่ยนเส้นทางจากฝั่งผู้ใช้โดยไม่มีการตรวจสอบ URL ที่แข็งแกร่ง Silent Push แนะนำการปรับปรุงอย่างเร่งด่วนต่อระบบการตรวจสอบโฆษณาและเมตาดาต้าของ X และการตื่นตัวของผู้ใช้ที่มากขึ้น

เมื่อกลโกงโฆษณากลายเป็นเรื่องหลอกลวงมากขึ้น ผู้ใช้ไม่ควรที่จะคิดเพียงแค่สองครั้งก่อนคลิก แต่ยังควรทำความสะอาดเนื้อหาที่ผ่านมาอย่างสม่ำเสมอ เครื่องมือเช่น  TweetDeleter ช่วยให้คุณลบทวีตเก่าและจัดการประวัติในโซเชียลมีเดียของคุณ – เป็นขั้นตอนสำคัญในการรักษาความปลอดภัยออนไลน์

แหล่งที่มา: gbhackers.com