123/69 (IT) ประจำวันจันทร์ที่ 2 มีนาคม 2569
ทีมวิจัย Microsoft Defender รายงานตรวจพบแคมเปญที่ผู้โจมตีปลอมแปลง “เครื่องมือช่วยเล่นเกม” (trojanized gaming utilities) และเผยแพร่ผ่านเว็บเบราว์เซอร์และแพลตฟอร์มแชต เช่น Xeno.exe หรือ RobloxPlayerBeta.exe เพื่อหลอกให้ผู้ใช้รันไฟล์ ก่อนนำไปสู่การติดตั้งมัลแวร์ประเภท Remote Access Trojan (RAT) ช่วยให้ผู้ไม่หวังดีควบคุมเครื่องจากระยะไกลได้
กลไกการโจมตีเริ่มจากการใช้ตัวดาวน์โหลดเพื่อรันไฟล์ JAR อันตรายผ่าน Java runtime โดยอาศัย PowerShell ร่วมกับเครื่องมือที่มีอยู่ในระบบ (LOLBins) เช่น cmstp.exe เพื่อพรางกิจกรรมที่ผิดปกติ มัลแวร์ยังพยายามหลบเลี่ยงการตรวจจับด้วยการเพิ่มข้อยกเว้นใน Microsoft Defender และลบไฟล์ที่เกี่ยวข้องเพื่อลดร่องรอย พร้อมสร้างความคงทน (persistence) ในระบบผ่าน Scheduled Task และสคริปต์เริ่มทำงานอัตโนมัติ เพื่อให้มัลแวร์กลับมาทำงานได้แม้มีการรีสตาร์ทเครื่อง โดยเพย์โหลดหลักทำหน้าที่เป็นทั้งตัวดาวน์โหลดและโทรจันควบคุมระยะไกลที่เชื่อมต่อไปยังไอพี 79.110.49.15 เพื่อรับคำสั่งจากเซิร์ฟเวอร์ควบคุม (C2)
การโจมตีอาจเปิดโอกาสให้ผู้ไม่หวังดีสามารถดำเนินการได้หลากหลาย ทั้งการขโมยข้อมูลสำคัญหรือการติดตั้งมัลแวร์เพิ่มเติมในเครื่องเหยื่อ ส่งผลกระทบต่อความปลอดภัยของข้อมูล ทั้งนี้ Microsoft ได้เผยแพร่รายการตัวบ่งชี้ความพยายามบุกรุก (IoCs) สำหรับแคมเปญดังกล่าวเพื่อใช้ในการตรวจสอบและเฝ้าระวัง แนะนำผู้ใช้งานควรหลีกเลี่ยงการดาวน์โหลดซอฟต์แวร์จากแหล่งที่ไม่น่าเชื่อถือเพื่อป้องกันภัยคุกคามดังกล่าว
