141/68 (IT) ประจำวันพฤหัสบดีที่ 17 เมษายน 2568
นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์จาก CloudSEK เปิดเผยถึงแคมเปญมัลแวร์ขั้นสูงที่แอบอ้างเป็นเว็บไซต์ PDFCandy[.]com เพื่อหลอกลวงให้ผู้ใช้งานดาวน์โหลดมัลแวร์ขโมยข้อมูลที่ชื่อ ArechClient2 ซึ่งอยู่ในตระกูล SectopRAT และมีการใช้งานมาตั้งแต่ปี 2019 โดยอาศัยกลยุทธ์โฆษณาหลอกบน Google Ads หรือการอัปเดตซอฟต์แวร์ปลอมเพื่อกระจายมัลแวร์ไปยังเครื่องเหยื่ออย่างแนบเนียน จุดมุ่งหมายหลักคือการขโมยข้อมูลส่วนตัว เช่น รหัสผ่านและชื่อผู้ใช้จากเว็บเบราว์เซอร์
เว็บไซต์ปลอมดังกล่าวถูกออกแบบให้มีลักษณะเกือบเหมือนกับของจริงทุกประการ ตั้งแต่โดเมนเนมที่คล้ายกัน ไปจนถึงหน้าตาและการใช้งาน ทำให้ผู้ใช้เข้าใจผิดว่าเป็นเว็บไซต์ PDFCandy[.]com ตัวจริง โดยทันทีที่ผู้ใช้เข้าหน้าเว็บไซต์ ก็จะถูกเชิญชวนให้อัปโหลดไฟล์ PDF เพื่อแปลงเป็น DOCX พร้อมแสดงภาพโหลดปลอมเพื่อสร้างความน่าเชื่อถือ จากนั้นจะมี CAPTCHA ปลอมเพื่อให้ดูเหมือนมีระบบรักษาความปลอดภัย แต่แท้จริงแล้วเป็นขั้นตอนสำคัญในการเปลี่ยนจากการหลอกลวงเชิงจิตวิทยา (social engineering) ไปสู่การโจมตีระบบโดยตรง โดยเว็บไซต์ปลอมจะให้ผู้ใช้รันคำสั่งผ่าน PowerShell ซึ่งนำไปสู่การดาวน์โหลดไฟล์ “adobe[.]zip” ที่บรรจุไฟล์รันมัลแวร์ชื่อ “audiobitexe” อยู่ภายใน
สำนักงานสืบสวนกลางของสหรัฐฯ (FBI) เคยเตือนเมื่อวันที่ 17 มีนาคม 2025 เกี่ยวกับการใช้เว็บไซต์แปลงไฟล์ออนไลน์ในการแพร่กระจายมัลแวร์ โดยอาชญากรไซเบอร์มักแฝงตัวอยู่ในบริการฟรีที่ให้แปลงไฟล์หรือดาวน์โหลดเพลงและวิดีโอ ไม่ว่าจะเป็น PDF, DOCX หรือ MP3 ก็ตาม ทั้งนี้ ผู้ใช้งานควรเพิ่มความระมัดระวังในการใช้งานเว็บไซต์แปลงไฟล์ออนไลน์ ตรวจสอบ URL อย่างละเอียดก่อนอัปโหลดไฟล์ และหลีกเลี่ยงการทำตามคำสั่งที่ไม่คุ้นเคยหรือดูน่าสงสัย เพื่อป้องกันความเสี่ยงจากการติดมัลแวร์โดยไม่รู้ตัว
แหล่งข่าว https://hackread.com/fake-pdfcandy-websites-spread-malware/
