ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารภัยคุกคามทางไซเบอร์ พบแคมเปญโจมตีทางไซเบอร์ที่ใช้ซอฟต์แวร์ปลอมและปลั๊กอินปลอมที่แอบอ้างเป็นซอฟต์แวร์ยอดนิยม เช่น ChatGPT, Claude, AutoTune และ Kontakt บน GitHub และ SourceForge [1]
1. รายละเอียดเหตุการณ์
แคมเปญการโจมตีดังกล่าวมีการใช้มัลแวร์ชื่อ “DinDoor” ซึ่งจัดอยู่ในประเภท Backdoor และ Remote Access Trojan (RAT) โดยพัฒนาบน Deno Runtime ซึ่งเป็น JavaScript Runtime ที่กำลังได้รับความนิยมในกลุ่มผู้โจมตีทางไซเบอร์ เนื่องจากสามารถช่วยหลีกเลี่ยงการตรวจจับจากระบบป้องกันความปลอดภัยได้มีประสิทธิภาพมากยิ่งขึ้น
รูปแบบการโจมตีเริ่มจากผู้โจมตีสร้าง Repository ปลอมบนแพลตฟอร์ม GitHub และ SourceForge พร้อมอัปโหลดไฟล์ติดตั้งประเภท MSI หรือ PowerShell Script ที่ฝังคำสั่งอันตรายไว้ เมื่อผู้ใช้งานเผลอเปิดหรือรันไฟล์ดังกล่าว ระบบจะทำการติดตั้ง Deno Runtime ผ่านเครื่องมือ Scoop หรือ WinGet จากนั้นจะดาวน์โหลดและเรียกใช้งานมัลแวร์ DinDoor บนอุปกรณ์ของเหยื่อ ส่งผลให้ผู้โจมตีสามารถเข้าควบคุมระบบและดำเนินกิจกรรมที่เป็นอันตรายต่อระบบและข้อมูลได้
2. ผลกระทบที่อาจเกิดขึ้น
2.1 เข้าควบคุมระบบ
2.2 ดาวน์โหลดและรัน Payload
2.3 ขโมยข้อมูลจาก Web Browser
2.4 ขโมยข้อมูลกระเป๋าเงินดิจิทัล (Crypto Wallet)
2.5 เข้าถึงข้อมูลส่วนบุคคล รวมถึง ปลอมแปลง Session
3. ช่องทางการแพร่กระจาย
การแพร่กระจายของมัลแวร์จะเริ่มต้นผ่านไฟล์ MSI หรือ สคริปต์ PowerShell ที่ดาวน์โหลดจาก GitHub หรือ SourceForge โดยผู้ใช้มักถูกเปลี่ยนเส้นทางไปยังแหล่งเก็บข้อมูลที่เป็นอันตรายเหล่านี้ผ่านช่อง YouTube
ทั้งนี้หน่วยงานสามารถตรวจสอบ Indicators of Compromise (IOCs) ได้ที่ https://dg.th/tagpiork2l
4. คำแนะนำและมาตรการป้องกัน
4.1 ดาวน์โหลดซอฟต์แวร์จากเว็บไซต์ทางการเท่านั้น
4.2 หลีกเลี่ยงการใช้งานซอฟต์แวร์ Crack หรือปลั๊กอินจากแหล่งที่ไม่น่าเชื่อถือ
4.3 ห้ามคัดลอกและรัน PowerShell Command จากเว็บไซต์หรือวิดีโอที่ไม่ทราบแหล่งที่มา
4.4 ตรวจสอบ Digital Signature ของไฟล์ก่อนติดตั้ง
5. มาตรการชั่วคราวหากยังไม่สามารถแก้ไขได้ทันที
5.1 จำกัดสิทธิ์การติดตั้งโปรแกรมของผู้ใช้งานทั่วไป เพื่อลดความเสี่ยงจากการติดตั้งซอฟต์แวร์อันตราย
5.2 ปิดกั้นการใช้งาน PowerShell Script ที่ไม่ได้รับอนุญาต หรือกำหนด Execution Policy ให้เหมาะสม
5.3 เฝ้าระวังการดาวน์โหลดไฟล์จาก GitHub, SourceForge และเว็บไซต์แชร์ไฟล์ที่ไม่เป็นทางการ โดยเฉพาะไฟล์ประเภท .msi, .ps1, .bat และ .zip
5.4 ตรวจสอบและบล็อกการติดตั้ง Deno Runtime หรือเครื่องมือที่เกี่ยวข้อง เช่น Scoop และ WinGet
แหล่งอ้างอิง