253/69 (IT) ประจำวันจันทร์ที่ 11 พฤษภาคม 2569
ทีมนักวิจัยจาก Elastic Security Labs ตรวจพบการแพร่ระบาดของมัลแวร์สายพันธุ์ใหม่ที่มีชื่อว่า TCLBANKER (หรือรหัสติดตาม REF3076) ซึ่งเป็นโทรจันสายพันธุ์บราซิลที่มีความสามารถในการโจมตีแพลตฟอร์มทางการเงิน ฟินเทค และสกุลเงินดิจิทัลรวมกว่า 59 แห่ง มัลแวร์นี้มีความน่ากังวลอย่างยิ่งเนื่อง จากถูกพัฒนาต่อยอดมาจากมัลแวร์ตระกูล Maverick โดยเพิ่มขีดความสามารถในการแพร่กระจายตัวเองในลักษณะของเวิร์ม (Worm) ผ่านบัญชี WhatsApp Web และ Microsoft Outlook ของเหยื่อ เพื่อส่งข้อความหรืออีเมลที่มีไฟล์อันตรายไปยังรายชื่อผู้ติดต่อของเหยื่อโดยตรง ซึ่งการส่งจากบัญชีที่เชื่อถือได้ทำให้ระบบคัดกรองสแปมและระบบรักษาความปลอดภัยทั่วไปตรวจจับได้ยาก
กระบวนการติดเชื้อเริ่มต้นจากการล่อลวงให้เหยื่อเปิดไฟล์ ZIP ที่บรรจุไฟล์ติดตั้งประเภท MSI โดยมัลแวร์จะใช้วิธีการที่เรียกว่า DLL side-loading เพื่อแอบอ้างสิทธิ์การทำงานผ่านโปรแกรม Logi AI Prompt Builder ของ Logitech ซึ่งเป็นซอฟต์แวร์ที่มีลายเซ็นดิจิทัลถูกต้องเพื่อหลบเลี่ยงการตรวจสอบจากระบบความปลอดภัย นอกจากนี้ TCLBANKER ยังมีกลไกป้องกันการวิเคราะห์ระดับสูง โดยจะตรวจสอบสภาพแวดล้อมเครื่องเหยื่ออย่างละเอียด หากพบว่ากำลังทำงานบนระบบจำลอง (Sandbox) หรือมีเครื่องมือสำหรับนักวิเคราะห์มัลแวร์เปิดอยู่ มัลแวร์จะหยุดการทำงานทันที เมื่อเครื่องติดเชื้อแล้ว มัลแวร์จะเฝ้าติดตาม URL บนเบราว์เซอร์ยอดนิยม เช่น Chrome หรือ Firefox และหากเหยื่อเข้าใช้งานเว็บไซต์ทางการเงินที่เป็นเป้าหมาย มัลแวร์จะแสดงหน้าต่างจำลอง (Overlay) ที่ดูเหมือนหน้าเว็บจริงเพื่อหลอกขโมยรหัสผ่านและข้อมูลสำคัญ พร้อมทั้งเปิดการเชื่อมต่อแบบ WebSocket เพื่อให้ผู้โจมตีเข้าควบคุมเครื่องหรือขโมยข้อมูลได้แบบเรียลไทม์
แนวทางการป้องกันและลดความเสี่ยง ผู้ใช้งานควรใช้ความระมัดระวังสูงสุดในการเปิดไฟล์แนบหรือคลิกลิงก์ที่ได้รับผ่านช่องทางโซเชียลมีเดียและอีเมล แม้ว่าข้อความนั้นจะส่งมาจากบุคคลที่รู้จักหรือดูน่าเชื่อถือก็ตาม หากพบพฤติกรรมผิดปกติของระบบ เช่น มีการส่งข้อความออกโดยที่เจ้าของบัญชีไม่ได้เป็นผู้ส่ง หรือหน้าต่างเข้าสู่ระบบของสถาบันการเงินมีลักษณะผิดปกติหรือมีการร้องขอข้อมูลส่วนตัวเกินความจำเป็น ควรหยุดการทำธุรกรรมและตรวจสอบระบบทันที สำหรับผู้ดูแลระบบในองค์กร ควรเพิ่มความเข้มงวดในการตรวจสอบการเรียกใช้ไฟล์ DLL ที่ไม่ทราบที่มา และตรวจสอบประวัติการทำงานของ Task Scheduler ที่อาจถูกมัลแวร์ใช้ในการฝังตัวถาวร ในเบื้องต้นการหมั่นอัปเดตซอฟต์แวร์และระบบรักษาความปลอดภัยให้เป็นเวอร์ชันล่าสุดยังคงเป็นมาตรการพื้นฐานที่สำคัญในการป้องกันภัยคุกคามประเภทนี้
แหล่งข่าว https://thehackernews.com/2026/05/tclbanker-banking-trojan-targets.html