489/68 (IT) ประจำวันพุธที่ 26 พฤศจิกายน 2568
พบการกลับมาของการโจมตีทางไซเบอร์ในรูปแบบ ClickFix รูปแบบใหม่ ที่มีความแนบเนียนยิ่งขึ้น โดยแฮกเกอร์ใช้วิธีสร้างหน้าต่างเบราว์เซอร์แบบเต็มจอแสดงแอนิเมชัน “Windows Update” ที่ดูเหมือนของจริง หรือหน้าจอ “ยืนยันตัวตน” เพื่อหลอกลวงผู้ใช้งานแบบ Social Engineering เพื่อสร้างความน่าเชื่อถือและชักจูงให้ผู้ใช้งานทำตามขั้นตอนที่นำไปสู่การรันคำสั่งอันตรายที่ถูกฝังไว้ในคลิปบอร์ดลงในโปรแกรม Windows Run หรือ Command Prompt โดยอัตโนมัติ ส่งผลให้เครื่องคอมพิวเตอร์ถูกติดตั้งมัลแวร์ทันที
สิ่งที่น่าเป็นกังวลของกการโจมตีนี้ คือการใช้เทคนิคขั้นสูงในการซ่อนโค้ดอันตราย (Steganography) โดยรายงานจาก Huntress ระบุว่า แฮกเกอร์ไม่ได้เพียงแค่แนบไฟล์ข้อมูลต่อท้ายรูปภาพแบบเดิม แต่ทำการเข้ารหัสและฝังโค้ดลงใน “ข้อมูลพิกเซล” ของไฟล์รูปภาพ (.PNG) โดยตรง เพื่อหลบเลี่ยงการตรวจจับ จากนั้นจะใช้กระบวนการของระบบ Windows (เช่น mshta และ PowerShell) ในการดึงโค้ดเหล่านั้นออกมาประกอบร่างใหม่และรันในหน่วยความจำ ซึ่งจะนำไปสู่การติดตั้งมัลแวร์ประเภทขโมยข้อมูลที่ชื่อ LummaC2 และ Rhadamanthys
แม้ว่าปฏิบัติการกวาดล้างอาชญากรรมไซเบอร์ “Operation Endgame” เมื่อกลางเดือนพฤศจิกายนที่ผ่านมา จะสามารถทำลายโครงสร้างพื้นฐานของมัลแวร์ Rhadamanthys ได้บางส่วน แต่โดเมนที่ใช้แสดงหน้าจออัปเดตปลอมเหล่านี้ยังคงเปิดใช้งานอยู่ ผู้เชี่ยวชาญจึงแนะนำแนวทางการป้องกันโดยการปิดใช้งาน Windows Run box หากไม่จำเป็น และหมั่นตรวจสอบกระบวนการทำงานที่ผิดปกติในระบบ เช่น การที่ explorer.exe มีการเรียกใช้งาน mshta.exe หรือ PowerShell ขึ้นมาเอง ทั้งนี้ หากสงสัยว่าถูกโจมตี ผู้ดูแลระบบสามารถตรวจสอบประวัติการรันคำสั่งย้อนหลังได้ที่ Registry Key (RunMRU) เพื่อวิเคราะห์ความเสียหายต่อไป
