96/69 (IT) ประจำวันอังคารที่ 17 กุมภาพันธ์ 2569
Microsoft Threat Intelligence ตรวจพบแคมเปญวิศวกรรมสังคม (Social Engineering) รูปแบบ ClickFix เวอร์ชันใหม่ที่เปลี่ยนจากการดาวน์โหลดมัลแวร์ผ่าน HTTP เป็น DNS เป็นช่องทางส่งชุดคำสั่งอันตราย (Staging) โดยหลอกให้เหยื่อเปิดหน้าต่าง Windows Run (Win+R) พิมพ์คำสั่ง nslookup เพื่อเชื่อมต่อไปยังเซิร์ฟเวอร์ DNS ของผู้โจมตี ทำให้สามารถส่งเพย์โหลด ผ่านฟิลด์ “Name:” ของผลลัพธ์ DNS ซึ่งถูกนำไปประมวลผลและรันคำสั่ง PowerShell บนเครื่องเหยื่อทันที ช่วยอำพรางกิจกรรมไปกับการรับส่งข้อมูล DNS ปกติ และหลบเลี่ยงการตรวจสอบผ่านเว็บได้แนบเนียนขึ้น
เมื่อสคริปต์ PowerShell ชุดแรกทำงาน ระบบจะดาวน์โหลดไฟล์ ZIP จากเซิร์ฟเวอร์ภายนอก เช่น azwsappdev[.]com เพื่อติดตั้งมัลแวร์ควบคุมระยะไกล (Remote Access Trojan) ชื่อ ModeloRAT พัฒนาด้วยภาษา Python โดยมัลแวร์จะเริ่มลาดตระเวน (Reconnaissance) เพื่อเก็บข้อมูลภายในเครื่องและเครือข่าย พร้อมสร้างกลไกการฝังตัวในระบบ (Persistence) ผ่านการสร้างไฟล์ VBScript และ Shortcut ในโฟลเดอร์ Startup เพื่อเริ่มทำงานโดยอัตโนมัติทุกครั้งที่เปิดเครื่อง
นักวิจัยจาก Huntress และ SC Media ระบุว่ามัลแวร์ ModeloRAT รวมถึงสายพันธุ์ CrashFix มีความเชื่อมโยงกับกลุ่ม KongTuke ที่มุ่งเป้าโจมตีองค์กรเป็นหลัก โดยใช้หน้าเว็บแจ้งเตือนปลอม เช่น Google Meet หรือโปรแกรมแก้ไข PDF เพื่อหลอกให้เหยื่อคัดลอกและรันคำสั่งเอง ผู้เชี่ยวชาญแนะนำให้ผู้ใช้ระมัดระวังและหลีกเลี่ยงการใช้คำสั่งในหน้าต่าง Run หรือ Terminal ตามคำแนะนำจากหน้าเว็บไซต์ที่น่าสงสัยเพื่อป้องกันการตกเป็นเหยื่อ
