183/68 (IT) ประจำวันพุธที่ 21 พฤษภาคม 2568
ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์จาก WithSecure ออกมาเตือนถึงแคมเปญโจมตีที่มีการแพร่กระจายโปรแกรม KeePass ปลอม ซึ่งเป็นโปรแกรมจัดการรหัสผ่านยอดนิยม โดยแฮกเกอร์ได้ปรับแต่งเวอร์ชันของ KeePass ที่นำมาจากซอร์สโค้ดโอเพ่นซอร์สให้กลายเป็นมัลแวร์ซ่อนตัวในชื่อ “KeeLoader” พร้อมฟังก์ชันครบถ้วนเหมือนโปรแกรมจริง แต่แอบฝังโค้ดอันตรายเพื่อติดตั้ง Cobalt Strike beacon ซึ่งเป็นเครื่องมือที่ใช้สื่อสารและควบคุมอุปกรณ์ที่ถูกโจมตี รวมถึงลอบขโมยฐานข้อมูลรหัสผ่านในเครื่องแบบ plaintext และนำออกจากระบบโดยไม่ให้ผู้ใช้งานรู้ตัว
การโจมตีเริ่มต้นจากโฆษณาบน Bing ที่ชี้ไปยังเว็บไซต์ปลอมซึ่งเลียนแบบเว็บไซต์ดาวน์โหลดซอฟต์แวร์จริง โดยโดเมนหลอกเหล่านี้ได้แก่ keeppaswrd[.]com, keegass[.]com และ KeePass[.]me ซึ่งยังพบว่ายังคงใช้งานอยู่และเผยแพร่ไฟล์ติดตั้ง KeePass ปลอมอยู่ในขณะนี้ แม้ KeeLoader จะเป็นมัลแวร์ที่สามารถติดตั้ง Cobalt Strike ได้ แต่ผู้เชี่ยวชาญพบว่ามีการขยายความสามารถเพิ่มเติมให้ขโมยข้อมูลที่ผู้ใช้ป้อนเข้าโปรแกรม รวมถึงการแปลงข้อมูลฐานข้อมูลรหัสผ่านเป็นไฟล์ CSV ที่จัดเก็บไว้ในระบบก่อนถูกส่งออกไปยังผู้โจมตี
ผู้เชี่ยวชาญระบุว่าแคมเปญนี้เชื่อมโยงกับกลุ่มผู้โจมตี UNC4696 ซึ่งเคยมีประวัติเกี่ยวข้องกับแรนซัมแวร์ Black Basta และแคมเปญมัลแวร์ Nitrogen Loader มาก่อน ทั้งยังพบว่าแฮกเกอร์ใช้โดเมน aenys[.]com เพื่อสร้างโครงสร้างพื้นฐานที่ซับซ้อนในการแพร่กระจายมัลแวร์โดยปลอมเป็นบริการหรือเครื่องมือจากบริษัทชั้นนำ เช่น WinSCP, Phantom Wallet และ DEX Screener เป็นต้น สุดท้ายระบบของเหยื่อซึ่งเป็นเซิร์ฟเวอร์ VMware ESXi ถูกเข้ารหัสโดยแรนซัมแวร์ ผู้ใช้งานจึงควรหลีกเลี่ยงการดาวน์โหลดโปรแกรมจากโฆษณาหรือเว็บไซต์ที่ไม่เป็นทางการ แม้จะเห็น URL ที่ดูถูกต้องก็ตาม เนื่องจากแฮกเกอร์สามารถหลอกระบบโฆษณาให้แสดงลิงก์หลอกได้อย่างแนบเนียน
