85/69 (IT) ประจำวันพฤหัสบดีที่ 12 กุมภาพันธ์ 2569
ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ตรวจพบแคมเปญการโจมตีผ่านเว็บไซต์ปลอมที่ลอกเลียนแบบโปรแกรมจัดการไฟล์ 7-Zip โดยใช้โดเมนชื่อ 7zip[.]com (ของจริงคือ 7-zip[.]org) ซึ่งมีการออกแบบหน้าเว็บและเนื้อหาให้เหมือนต้นฉบับจนแยกได้ยาก หากผู้ใช้หลงเชื่อดาวน์โหลดตัวติดตั้งมาใช้งาน มัลแวร์จะแอบติดตั้งโปรแกรมเสริมที่เรียกว่า Proxyware เพื่อเปลี่ยนเครื่องคอมพิวเตอร์ของเหยื่อให้กลายเป็น Node หรือจุดรับส่งข้อมูลในเครือข่าย Residential Proxy โดยที่เจ้าของเครื่องไม่รู้ตัว ซึ่งกลุ่มแฮกเกอร์จะนำช่องทางนี้ไปใช้ในการทำกิจกรรมผิดกฎหมาย เช่น การสุ่มเดารหัสผ่าน, การทำ Phishing หรือการแพร่กระจายมัลแวร์อื่น ๆ เพื่อปกปิดตัวตนและตำแหน่งที่แท้จริงของอาชญากร
จากการตรวจสอบพบว่าตัวติดตั้งมัลแวร์นี้มีการใช้ใบรับรอง (Digital Certificate) ที่ถูกยกเลิกไปแล้วเพื่อสร้างความน่าเชื่อถือให้ระบบ Windows ยอมรับการติดตั้ง โดยเมื่อติดตั้งเสร็จ มัลแวร์จะฝังไฟล์อันตรายไว้ในไดเรกทอรี C:\Windows\SysWOW64\hero\ และสร้าง Service ทำงานในระดับ SYSTEM พร้อมทั้งปรับแต่งค่า Firewall ผ่านคำสั่ง netsh เพื่อเปิดช่องทางรับส่งข้อมูลทั้งขาเข้าและขาออก นอกจากนี้ ข้อมูลเชิงลึกยังระบุว่าการโจมตีครั้งนี้เป็นส่วนหนึ่งของแคมเปญขนาดใหญ่ที่ไม่ได้จำกัดอยู่แค่ 7-Zip เท่านั้น แต่ยังรวมถึงการปลอมแปลงตัวติดตั้งซอฟต์แวร์ยอดนิยมอื่น ๆ เช่น HolaVPN, TikTok, WhatsApp และ Wire VPN โดยมัลแวร์มีความสามารถในการตรวจสอบตัวเองว่ากำลังถูกวิเคราะห์ในระบบจำลอง (Virtual Machine) หรือไม่ เพื่อหลบเลี่ยงการตรวจจับจากนักวิจัย
สำหรับผู้ใช้งานในประเทศไทยซึ่งมีการใช้งาน 7-Zip อย่างแพร่หลาย รวมถึงแอปพลิเคชันอย่าง TikTok และ WhatsApp ที่เป็นเครื่องมือหลักในการสื่อสาร ความเสี่ยงนี้จึงถือเป็นเรื่องใกล้ตัว โดยเฉพาะกลุ่มผู้ใช้ที่ดาวน์โหลดโปรแกรมตามลิงก์ในคลิปสอนใช้งานบน YouTube หรือผ่านโฆษณาบน Search Engine คำแนะนำสำคัญคือควรตรวจสอบสะกด URL ของเว็บไซต์ให้ถูกต้องทุกครั้งก่อนดาวน์โหลด และควรเข้าใช้งานผ่านเว็บไซต์ทางการที่ได้รับการยืนยันแล้วเท่านั้น เพื่อป้องกันไม่ให้คอมพิวเตอร์ของคุณถูกแฮกเกอร์ยึดไปใช้ในทางที่ผิดกฎหมาย
