546/68 (IT) ประจำวันพฤหัสบดีที่ 25 ธันวาคม 2568
รายงานล่าสุดพบการแพร่มัลแวร์ WebRAT ในรูปแบบใหม่ที่เปลี่ยนเป้าหมายจากเดิมที่เคยมุ่งเน้นกลุ่มผู้เล่นเกม (ผ่านโปรแกรมโกงเกม Roblox หรือ Counter Strike) มาเป็นกลุ่มนักพัฒนาและผู้ดูแลระบบความปลอดภัย โดยแฮกเกอร์ได้สร้าง Repository ปลอมบน GitHub อ้างว่าเป็นโค้ดสาธิตการเจาะช่องโหว่ (Proof-of-Concept) สำหรับช่องโหว่ใหม่ ๆ ที่เพิ่งถูกเปิดเผย เช่น CVE-2025-59230 (ช่องโหว่ใน Windows RasMan) หรือ CVE-2025-10294 (ช่องโหว่ใน WordPress) เพื่อหลอกให้เหยื่อดาวน์โหลดไปทดสอบ โดยเนื้อหาคำอธิบายคาดว่าถูกเขียนขึ้นโดย AI เพื่อสร้างความน่าเชื่อถือ
กระบวนการทำงานของมัลแวร์ชุดนี้ จะเริ่มจากการหลอกให้เหยื่อดาวน์โหลดไฟล์ ZIP ที่ถูกล็อกรหัสผ่าน ซึ่งภายในประกอบด้วยไฟล์ลวงและตัวรันมัลแวร์หลักชื่อ rasmanesc.exe เมื่อเหยื่อทำการรันไฟล์นี้ มันจะทำการยกระดับสิทธิ์ของตนเอง และสั่งปิด Windows Defender ก่อนจะดาวน์โหลดตัว WebRAT ของจริงจากเซิร์ฟเวอร์ภายนอกเข้ามาฝังตัวในเครื่อง โดยมัลแวร์จะสร้าง Persistence ผ่านการแก้ไข Windows Registry และ Task Scheduler เพื่อให้มันทำงานตลอดเวลาแม้จะรีสตาร์ทเครื่องใหม่
WebRAT ครอบคลุมการขโมยข้อมูลสำคัญ โดยพบว่ามันสามารถขโมยรหัสผ่านบัญชี Discord, Steam, Telegram และข้อมูลกระเป๋าเงิน Cryptocurrency ได้ นอกจากนี้ยังมีความสามารถในการสอดแนมขั้นสูง เช่น การบันทึกหน้าจอ, แอบดูผ่านกล้อง Webcam, ดักฟังเสียงผ่านไมโครโฟน และดักจับการพิมพ์ (Keylogger) แม้ทาง GitHub จะได้ลบ Repository เหล่านี้ออกไปแล้ว แต่ผู้เชี่ยวชาญแนะนำว่าควรระมัดระวังในการดาวน์โหลดโค้ดจากแหล่งที่ไม่รู้จัก และควรทดสอบโค้ดในระบบจำลองที่แยกออกจากเครื่องหลักอย่างสม่ำเสมอ
