450/68 (IT) ประจำวันศุกร์ที่ 7 พฤศจิกายน 2568
หลังจากเงียบหายไป 7 เดือน ปฏิบัติการมัลแวร์ Gootloader ได้กลับมาอีกครั้ง โดยยังคงใช้กลยุทธ์ SEO poisoning หรือการปั่นผลการค้นหา เพื่อโปรโมตเว็บไซต์ปลอมที่ล่อลวงให้ผู้ใช้ดาวน์โหลดเอกสาร โดยเว็บไซต์เหล่านี้มักแอบอ้างว่าให้บริการเทมเพลตเอกสารทางกฎหมายหรือข้อตกลงต่าง ๆ ฟรี เมื่อเหยื่อค้นหาเอกสารเหล่านี้ผ่าน search engine และคลิกดาวน์โหลดไฟล์ พวกเขาจะได้รับไฟล์ ZIP ที่ซ่อนสคริปต์ JavaScript (.js) ที่เป็นอันตรายอยู่ภายใน หากผู้ใช้เปิดไฟล์ดังกล่าว Gootloader จะเริ่มทำงานและดาวน์โหลดมัลแวร์ตัวอื่น ๆ ตามมา เช่น Cobalt Strike หรือ Backdoor เพื่อเปิดทางให้ผู้โจมตีรายอื่นเข้ามาควบคุมเครื่อง และมักนำไปสู่การโจมตีด้วย Ransomware ในที่สุด
ในการกลับมาครั้งนี้ Gootloader ได้เพิ่มเทคนิคการหลบเลี่ยงการตรวจจับที่ซับซ้อนขึ้น ประการแรกคือการใช้ Web Font แบบพิเศษเพื่อซ่อนคีย์เวิร์ดบนหน้าเว็บ เมื่อดูในซอร์สโค้ดของหน้าเว็บ จะเห็นข้อความเป็นตัวอักษรที่อ่านไม่รู้เรื่อง แต่เมื่อแสดงผลบนเบราว์เซอร์ ฟอนต์ดังกล่าวจะสลับสัญลักษณ์ (glyph) ให้แสดงผลเป็นคำที่อ่านได้ปกติ ทำให้เครื่องมือสแกนความปลอดภัยไม่สามารถตรวจจับคำต้องสงสัย เช่น “invoice” หรือ “contract” ได้ ประการที่สองคือการใช้ไฟล์ ZIP ที่มีโครงสร้างผิดปกติ (Malformed Zip) เมื่อเหยื่อเปิดไฟล์ ZIP นี้ด้วย Windows Explorer ระบบจะแตกไฟล์สคริปต์ .js อันตรายออกมา แต่เมื่อไฟล์เดียวกันนี้ถูกเปิดด้วยเครื่องมือวิเคราะห์อัตโนมัติ เช่น 7-Zip หรือ VirusTotal มันจะแสดงผลเป็นไฟล์ .txt ที่ไม่มีอันตรายแทน เพื่อหลอกระบบตรวจจับ
เป้าหมายสุดท้ายของ Gootloader ในแคมเปญนี้คือการติดตั้ง Backdoor ที่ชื่อว่า “Supper SOCKS5” ซึ่งเป็นมัลแวร์ที่กลุ่มแฮกเกอร์ Vanilla Tempest ใช้ในการเข้าถึงเครือข่ายของเหยื่อจากระยะไกล กลุ่มนี้มีความเชื่อมโยงกับการโจมตีด้วยแรนซัมแวร์หลายตระกูล นักวิจัยยังพบว่าการโจมตีเกิดขึ้นอย่างรวดเร็วมาก โดยผู้โจมตีเริ่มสแกนเครือข่ายภายใน 20 นาทีหลังจากเครื่องแรกติดเชื้อ และสามารถยึดระบบควบคุมหลัก (Domain Controller) ได้ภายใน 17 ชั่วโมง ดังนั้น ผู้ใช้ทั่วไปและผู้ใช้ในองค์กรจึงควรใช้ความระมัดระวังอย่างสูงในการค้นหาและดาวน์โหลดเทมเพลตเอกสารจากอินเทอร์เน็ต หากเว็บไซต์นั้นไม่ใช่แหล่งที่รู้จักและน่าเชื่อถือ ควรสันนิษฐานว่าอาจเป็นอันตรายและหลีกเลี่ยงการใช้งาน
