57/69 (IT) ประจำวันพฤหัสบดีที่ 29 มกราคม 2569
นักวิจัยจาก Kaspersky ตรวจพบกลุ่มภัยคุกคาม Mustang Panda อัปเดตแบ็กดอร์ CoolClient เป็นเวอร์ชันใหม่ เพิ่มสามารถในการขโมยข้อมูลล็อกอินจากเว็บเบราว์เซอร์และตรวจสอบข้อมูลในคลิปบอร์ด การโจมตีที่ถูกตรวจพบมุ่งเป้าหน่วยงานภาครัฐในประเทศเมียนมา มองโกเลีย มาเลเซีย รัสเซีย และปากีสถาน โดยผู้โจมตีอาศัยซอฟต์แวร์ของบริษัทด้าน Cyberbersecurity และ Cloud Computing รายหนึ่ง เป็นช่องทางในการปล่อยมัลแวร์
ความสามารถใหม่ของ CoolClient คือการเพิ่มโมดูล ตรวจสอบคลิปบอร์ด (Clipboard Monitoring) เพื่อดักจับข้อมูลที่ถูกคัดลอก การติดตามชื่อหน้าต่างโปรแกรมที่กำลังใช้งาน (Active window title tracking) และการดักจับข้อมูลยืนยันตัวตน HTTP Proxy ผ่านการตรวจสอบ Packet โดยตรง นอกจากนี้ยังมีการขยายระบบ Plugin ให้รองรับการจัดการไฟล์ การจัดการ Service และ Remote Shell สำหรับรันคำสั่งระยะไกล ทั้งยังพบการปล่อยมัลแวร์ประเภท Infostealer 3 รูปแบบ เพื่อขโมยข้อมูลการเข้าสู่ระบบจากเบราว์เซอร์ Chrome Edge และ Chromium
ขั้นตอนการส่งข้อมูลออก (Exfiltration) ผู้โจมตีปรับเทคนิคเพื่อหลบเลี่ยงการตรวจจับ โดยใช้ API Token ที่ฝังมากับมัลแวร์เพื่ออัปโหลดข้อมูลไปยังบริการฝากไฟล์สาธารณะ เช่น Google Drive หรือ Pixeldrain ทำให้ทราฟฟิกมีลักษณะคล้ายการใช้งานทั่วไป มัลแวร์ยังคงความสามารถในการฝังตัวในระบบ (Persistence) ผ่านการแก้ไข Registry และสร้าง Windows Services รวมถึงรองรับการข้ามการควบคุมสิทธิ์ผู้ใช้ (UAC bypass)
