433/68 (IT) ประจำวันพฤหัสบดีที่ 30 ตุลาคม 2568
นักวิจัยจาก Trellix เปิดเผยว่ากลุ่มแฮกเกอร์ SideWinder ได้พัฒนาการโจมตีใหม่ โดยใช้ไฟล์ PDF และ ClickOnce-based infection chain แทนที่เทคนิคเอกสาร Word แบบเดิม เพื่อแพร่กระจายมัลแวร์ในแคมเปญฟิชชิ่งที่พุ่งเป้าไปยังสถานทูตยุโรปในอินเดีย รวมถึงหน่วยงานในศรีลังกา ปากีสถาน และบังกลาเทศ ตลอดช่วงเดือนมีนาคมถึงกันยายน 2025
แคมเปญดังกล่าวใช้วิธีการโจมตีผ่านอีเมลฟิชชิ่งแบบเจาะจงเป้าหมาย (spear-phishing) ผ่าน โดนแนบไฟล์ PDF/Word ปลอม เช่น “Inter-ministerial meeting Credentials.pdf” หรือ “India-Pakistan Conflict – Strategic and Tactical Analysis.docx” เมื่อเหยื่อเปิดไฟล์ PDF จะถูกหลอกให้ติดตั้ง “Adobe Reader เวอร์ชันล่าสุด” แต่แท้จริงคือการโหลดแอปพลิเคชัน ClickOnce จากเซิร์ฟเวอร์อันตรายเพื่อ sideload DLL (DEVOBJ.dll) และติดตั้งมัลแวร์ ModuleInstaller ที่ใช้ดาวน์โหลดและรัน StealerBot
ReaderConfiguration.exe เป็นแอป ClickOnce ของบริษัท MagTek Inc. ถูกนำมาใช้บังหน้า เนื่องจากเป็นไฟล์ที่ถูกต้องตามกฎหมายและมีการเซ็นดิจิทัล ทำให้สามารถหลบเลี่ยงการตรวจจับได้ จากนั้น DLL อันตรายจะโหลด ModuleInstaller เพื่อติดตั้งมัลแวร์หลัก StealerBot ซึ่งทำหน้าที่เป็น implant สำหรับขโมยข้อมูล เช่น คีย์บอร์ด (keystrokes), รหัสผ่าน, ไฟล์, ภาพหน้าจอ รวมถึงเปิด reverse shell และติดตั้งมัลแวร์เพิ่มเติมได้ โดยนักวิจัยชี้ว่าเหตุโจมตีครั้งนี้แสดงถึงความซับซ้อนและการปรับตัวของ SideWinder ในการเจาะระบบทางการทูต ที่มีเป้าหมายหลักคือ การสอดแนมและจารกรรมข้อมูลเชิงยุทธศาสตร์ในภูมิภาคเอเชียใต้
แหล่งข่าว https://thehackernews.com/2025/10/sidewinder-adopts-new-clickonce-based.html
