340/69 (IT) ประจำวันพุธที่ 24 มิถุนายน 2569
พบรายงานแคมเปญการโจมตีทางไซเบอร์ที่มุ่งเป้าไปยังผู้ใช้งานแอปพลิเคชัน WhatsApp ในหลายประเทศทั่วโลก รวมถึงประเทศในภูมิภาคเอเชีย โดยผู้ไม่ประสงค์ดีได้ส่งข้อความหลอกลวงพร้อมแนบไฟล์อันตรายประเภท VBScript ผ่านทางบัญชี WhatsApp ที่ถูกแฮก การโจมตีนี้อาศัยความน่าเชื่อถือของบุคคลในรายชื่อผู้ติดต่อเพื่อหลอกให้เหยื่อดาวน์โหลดไฟล์ที่ตั้งชื่อเลียนแบบเอกสารทางธุรกิจหรือใบแจ้งหนี้ ซึ่งหากเหยื่อหลงเชื่อและเปิดไฟล์ดังกล่าวบนระบบปฏิบัติการ Windows จะนำไปสู่กระบวนการลอบติดตั้งโปรแกรมอันตราย และส่งผลให้ระบบคอมพิวเตอร์ถูกควบคุมจากระยะไกลโดยผู้ไม่ประสงค์ดี
จากการวิเคราะห์รูปแบบการโจมตีพบว่า ผู้ไม่ประสงค์ดีจะส่งไฟล์นามสกุล .vbs หรือ .vbe ที่ตั้งชื่อสอดคล้องกับภาษาท้องถิ่นและบริบททางการเงิน เช่น “Reconciliation.vbs”, “Acknowledgment of Debt.vbs” หรือ “Customer Statement(A).vbe” เมื่อผู้ใช้งานสั่งรันไฟล์ สคริปต์จะทำงานผ่าน Windows Script Host และดาวน์โหลดสคริปต์เพิ่มเติมเพื่อทำการแก้ไขค่า Registry (ตั้งค่า ConsentPromptBehaviorAdmin เป็น 0) สำหรับข้ามการตรวจสอบความปลอดภัย UAC ของ Windows จากนั้นจะทำการดาวน์โหลดไฟล์ ZIP ซึ่งภายในบรรจุโปรแกรม ManageEngine Endpoint Central (เช่น ไฟล์ UEMSAgent.msi และ setup1.vbs) โดยสคริปต์จะลอบติดตั้งซอฟต์แวร์ดังกล่าวแบบซ่อนตัว และตั้งค่าให้ระบบเชื่อมต่อไปยังเซิร์ฟเวอร์ของผู้ไม่ประสงค์ดี ทำให้แฮกเกอร์ได้รับสิทธิ์ผู้ดูแลระบบและสามารถควบคุมเครื่องของเหยื่อได้ เบื้องต้นพบความเชื่อมโยงของโครงสร้างพื้นฐานกับกลุ่มภัยคุกคามบางกลุ่ม แต่ยังอยู่ระหว่างการรวบรวมหลักฐานเพื่อยืนยันให้แน่ชัด
เพื่อเป็นการลดความเสี่ยงและป้องกันการตกเป็นเหยื่อ ผู้ใช้งานควรเพิ่มความระมัดระวังในการดาวน์โหลดหรือเปิดไฟล์ที่ส่งผ่านแอปพลิเคชัน แม้จะเป็นไฟล์ที่ส่งมาจากรายชื่อผู้ติดต่อที่รู้จักก็ตาม หากพบการส่งไฟล์ที่ผิดสังเกต ควรตรวจสอบผู้ที่ส่งเพื่อยืนยันตัวตนและจุดประสงค์ของผู้ส่งผ่านช่องทางการสื่อสารอื่นเสมอ นอกจากนี้ ไม่ควรคลิกเปิดไฟล์นามสกุลที่เกี่ยวข้องกับสคริปต์โดยตรง และควรตรวจสอบไฟล์ที่ดาวน์โหลดทุกครั้งด้วยโปรแกรมป้องกันไวรัสที่ได้รับการอัปเดตฐานข้อมูลให้เป็นปัจจุบัน สำหรับผู้ดูแลระบบองค์กร ควรเฝ้าระวังพฤติกรรมการติดตั้งซอฟต์แวร์ที่ผิดปกติ โดยเฉพาะเครื่องมือจัดการระบบระยะไกลที่ไม่ได้รับอนุญาต เพื่อป้องกันความเสียหายที่อาจเกิดขึ้นกับเครือข่ายภายในองค์กร
แหล่งข่าว : https://www.bleepingcomputer.com/news/security/whatsapp-phishing-attack-uses-fake-business-docs-to-hack-pcs/