461/68 (IT) ประจำวันพุธที่ 12 พฤศจิกายน 2568
นักวิจัยด้านความปลอดภัยไซเบอร์พบกลุ่มผู้โจมตีขั้นสูง (APT) ใช้ช่องทางของบริการ Google Find Hub ซึ่งเป็นเครื่องมือ Find My Device ของ Android เพื่อระบุตำแหน่งพิกัด (GPS) ของเป้าหมายและสั่งรีเซ็ตอุปกรณ์กลับสู่ค่าเริ่มต้นจากระยะไกล เพื่อปกปิดร่องรอยการโจมตี ตัดการเชื่อมต่อบัญชีของเหยื่อจากบริการต่าง ๆ โดยเฉพาะแอปสื่อสาร ก่อนใช้บัญชีที่ถูกยึดส่งต่อไฟล์มัลแวร์ต่อไปยังรายชื่อผู้ติดต่อของเหยื่อ
จากการวิเคราะห์ของนักวิจัยพบว่า การโจมตีเริ่มจากการส่งอีเมลฟิชชิงที่แอบอ้างเป็นหน่วยงานหรือองค์กรที่น่าเชื่อถือ เมื่อเหยื่อเปิดไฟล์แนบประเภท MSI หรือ ZIP ภายในจะมีสคริปต์ติดตั้งมัลแวร์ (install.bat) และสคริปต์หลอกผู้ใช้ให้เข้าใจผิดว่าเกิดข้อผิดพลาดด้านภาษา ขณะเดียวกันมัลแวร์จะดาวน์โหลดโมดูลเพิ่มเติมจากเซิร์ฟเวอร์ควบคุม (C2) เพื่อให้ผู้โจมตีสามารถเข้าควบคุมระบบจากระยะไกลและขโมยข้อมูลสำคัญ เช่น รหัสบัญชีอีเมลและข้อมูลเข้าสู่ระบบของบริการออนไลน์ต่าง ๆ
เมื่อผู้โจมตีเข้าถึงบัญชี Google ของเหยื่อได้จะใช้สิทธิ์ดังกล่าวเข้าสู่ Find Hub เพื่อดึงข้อมูลอุปกรณ์ Android ที่เชื่อมโยงกับบัญชีและสั่งรีเซ็ตอุปกรณ์เพื่อลบข้อมูลทั้งหมด จากนั้นใช้บัญชีผู้ใช้ที่ถูกยึดบนคอมพิวเตอร์ที่ติดมัลแวร์ในการส่งไฟล์อันตรายต่อไปยังผู้ติดต่อของเหยื่อ นักวิจัยแนะนำให้ผู้ใช้เปิดใช้งาน การยืนยันตัวตนหลายขั้นตอน (MFA) สำหรับบัญชี Google ตรวจสอบอุปกรณ์ที่เชื่อมต่อกับบัญชีอย่างสม่ำเสมอ และหลีกเลี่ยงการเปิดไฟล์แนบหรือดาวน์โหลดโปรแกรมจากผู้ส่งที่ไม่สามารถยืนยันตัวตนได้โดยตรง
