167/68 (IT) ประจำวันพุธที่ 7 พฤษภาคม 2568
นักวิจัยจาก Arctic Wolf Labs เปิดเผยการโจมตีทางไซเบอร์รูปแบบใหม่ โดยกลุ่มแฮกเกอร์ชื่อว่า “Venom Spider” ได้ส่งอีเมลฟิชชิ่งไปยังเจ้าหน้าที่ฝ่ายบุคคล โดยเฉพาะผู้จัดการฝ่ายสรรหาบุคคล และเจ้าหน้าที่รับสมัครงาน ซึ่งลักษณะของอีเมลเหล่านี้มักแฝงตัวมาในรูปแบบของใบสมัครงานจากบุคคลที่ไม่รู้จัก แนบไฟล์ที่ดูเหมือนเรซูเม่ แต่แท้จริงแล้วมีมัลแวร์ที่เรียกว่า More_eggs ซึ่งเป็นช่องทางเข้าควบคุมระบบของเหยื่ออย่างลับ ๆ
ในแคมเปญล่าสุด แฮกเกอร์จะส่งอีเมลพร้อมลิงก์ที่พาไปยังเว็บไซต์ภายนอกซึ่งมี CAPTCHA ป้องกันการสแกนจากระบบอัตโนมัติ หากเหยื่อผ่านขั้นตอนนี้จะได้รับไฟล์ ZIP ที่หลอกว่าเป็นเรซูเม่ แต่จริง ๆ แล้ว ภายในประกอบด้วยไฟล์ภาพที่ใช้เบี่ยงเบนความสนใจ และไฟล์ Windows shortcut (.LNK) ซึ่งเมื่อเปิดใช้งานจะดาวน์โหลดสคริปต์ BAT และรันคำสั่งผ่านแอปพลิเคชันของ Windows เพื่อเปิดทางให้มัลแวร์แทรกซึมเข้าสู่ระบบ ตัวมัลแวร์ More_eggs จะสามารถรวบรวมข้อมูลจากเครื่องเหยื่อ ติดต่อกับเซิร์ฟเวอร์ควบคุม และติดตั้งโค้ดหรือโปรแกรมเพิ่มเติมได้อย่างต่อเนื่อง ซึ่งการออกแบบโค้ดมีความซับซ้อนและหลีกเลี่ยงการตรวจจับโดยซอฟต์แวร์วิเคราะห์มัลแวร์ทั่วไป
แม้ว่าการโจมตีนี้จะมีความซับซ้อน แต่พื้นฐานยังคงเป็นการฟิชชิ่งเชิงจิตวิทยา (spear-phishing) นักวิจัยแนะนำว่าองค์กรควรอบรมพนักงาน โดยเฉพาะฝ่ายทรัพยากรบุคคลและเจ้าหน้าที่รับสมัครงาน ให้มีความตระหนักรู้เกี่ยวกับความปลอดภัยทางไซเบอร์ และรู้จักตรวจสอบไฟล์แนบที่มีนามสกุลเสี่ยง เช่น .LNK, .ISO หรือ .VBS ซึ่งมักซ่อนอยู่ในไฟล์ ZIP เพื่อหลีกเลี่ยงการถูกกรองด้วยระบบอีเมล พนักงานควรตรวจสอบ “Properties” ของไฟล์ก่อนเปิดใช้งานอยู่เสมอ ทั้งนี้ จากสภาวะตลาดแรงงานในปัจจุบันที่มีผู้สมัครจำนวนมากในแต่ละตำแหน่ง ทำให้เจ้าหน้าที่ฝ่ายบุคคลตกเป็นเป้าหมายง่ายขึ้นโดยไม่รู้ตัว แคมเปญนี้จึงยังคงดำเนินอย่างต่อเนื่องและมีแนวโน้มจะพัฒนาให้ซับซ้อนขึ้นในอนาคต
แหล่งข่าว https://www.darkreading.com/cyber-risk/venom-spider-phishing-scheme
