549/68 (IT) ประจำวันศุกร์ที่ 26 ธันวาคม 2568
มีการตรวจพบแคมเปญโจมตีทางไซเบอร์รูปแบบ Typosquatting หรือการจดโดเมนเลียนแบบโดยตั้งใจให้สะกดใกล้เคียงกับของจริง เพื่อหลอกผู้ใช้งานเครื่องมือ Microsoft Activation Scripts (MAS) ซึ่งเป็นสคริปต์ PowerShell แบบโอเพนซอร์สสำหรับเปิดใช้งาน Windows และ Office โดยแฮกเกอร์ได้จดโดเมนชื่อ “get.activate[.]win” (ตัดตัวอักษร ‘d’ ทิ้งไป) เพื่อเลียนแบบโดเมนจริงคือ “get.activated[.]win” หากผู้ใช้งานไม่ทันสังเกตและพิมพ์คำสั่งผิดใน PowerShell เครื่องคอมพิวเตอร์จะถูกติดตั้งมัลแวร์ชื่อว่า Cosmali Loader ทันที ซึ่งจากการวิเคราะห์พบว่ามัลแวร์ตัวนี้มี ความสามารถติดตั้งโปรแกรมขุดเหรียญคริปโต และฝังโทรจัน XWorm RAT เพื่อเข้าควบคุมเครื่องจากระยะไกลได้
ความผิดปกตินี้ถูกพบเมื่อผู้ใช้งานหลายคนได้รับหน้าต่างแจ้งเตือน (Pop-up) บนหน้าจอระบุว่า “คุณติดมัลแวร์ Cosmali Loader เพราะพิมพ์ชื่อโดเมนผิด” พร้อมคำแนะนำให้รีบติดตั้ง Windows ใหม่ (Reinstall) โดยด่วน จากการวิเคราะห์ของผู้เชี่ยวชาญคาดว่า ข้อความเตือนนี้ไม่ได้มาจากผู้สร้างมัลแวร์ แต่น่าจะเป็นฝีมือของนักวิจัยด้านความปลอดภัยหรือผู้หวังดีที่สามารถเจาะเข้าไปยังระบบควบคุม (Control Panel) ของมัลแวร์ซึ่งไม่มีความปลอดภัย และใช้ช่องทางนั้นเพื่อส่งข้อความแจ้งเตือนเหยื่อให้รู้ตัวว่าระบบกำลังถูกโจมตีอยู่ และอาจจะมีข้อมูลรั่วไหลสู่สาธารณะได้
ทางด้านผู้พัฒนาโครงการ MAS (Official) ได้ออกมายืนยันเหตุการณ์ดังกล่าวและแจ้งเตือนให้ผู้ใช้งานใช้ความระมัดระวังอย่างสูง โดยแนะนำให้ตรวจสอบตัวสะกดของคำสั่งให้ถี่ถ้วนก่อนกด Enter หรือทางที่ดีควรดาวน์โหลดสคริปต์จาก GitHub ของผู้พัฒนาโดยตรงเพื่อลดความเสี่ยง โดยผู้เชี่ยวชาญแนะนำว่าหากท่านใดเผลอรันคำสั่งจากโดเมนปลอมไปแล้ว ให้ตรวจสอบ Task Manager เพื่อหา Process ของ PowerShell ที่ผิดปกติ และวิธีแก้ไขที่ดีที่สุดคือการล้างเครื่องลง Windows ใหม่ เพื่อกำจัดมัลแวร์ให้สิ้นซาก ทั้งนี้พึงระลึกเสมอว่าการใช้เครื่องมือปรับแต่งระบบที่ไม่เป็นทางการมีความเสี่ยงต่อความปลอดภัยเสมอ
