346/69 (IT) ประจำวันศุกร์ที่ 26 มิถุนายน 2569
ทีมนักวิจัยด้านความมั่นคงปลอดภัยจาก Zscaler เปิดเผยการค้นพบมัลแวร์ชนิดใหม่ที่ชื่อว่า Edgecution ซึ่งปลอมตัวเป็นส่วนขยาย (Extension) ของ Microsoft Edge เพื่อใช้โจมตีด้วย Ransomware โดย Edgecution ถูกประเมินว่าดำเนินการโดยกลุ่ม Initial Access Broker (IAB) ที่มีความเชื่อมโยงกับปฏิบัติการ Ransomware ชื่อ Payouts Kings จุดเด่นของการโจมตีครั้งนี้คือการใช้ประโยชน์จากโปรโตคอล Chrome Native Messaging ซึ่งเป็นกลไกที่ออกแบบมาเพื่อให้ส่วนขยายของเบราว์เซอร์ สื่อสารกับแอปพลิเคชันบนระบบปฏิบัติการโดยตรง เพื่อหลบหนีออกจาก Browser Sandbox และฝัง Python-based Backdoor ลงในระบบเหยื่อ
การโจมตีเริ่มต้นด้วยการใช้วิธี Social Engineering โดยผู้โจมตีจะแอบอ้างเป็นเจ้าหน้าที่ฝ่ายไอทีผ่าน Microsoft Teams เพื่อหลอกพนักงานให้เข้าเยี่ยมชมเว็บไซต์ปลอมที่แอบอ้างเป็น Outlook Updates Management Console ของ Microsoft ซึ่งภายในหน้าต่างจะมีปุ่มสำหรับดาวน์โหลด Update Pack หลายรายการ เช่น Updates Pack 5029, 5028f และฟังก์ชัน Verification ต่าง ๆ แต่แท้จริงแล้วปุ่มเหล่านี้ดาวน์โหลดองค์ประกอบมัลแวร์ คัดลอกสคริปต์ลงคลิปบอร์ด หรือเปิดฟอร์มดักขโมยรหัสผ่าน Microsoft 365 และ Outlook ไฟล์มัลแวร์ถูกซ่อนในไฟล์ ZIP ที่มี Header ผิดรูปแบบ เพื่อหลีกเลี่ยงการตรวจจับของซอฟต์แวร์ความปลอดภัย และถูกติดตั้งผ่านสคริปต์หลายประเภท ได้แก่ AutoHotKey, Windows Batch Script และ PowerShell
เมื่อ Edgecution ทำงานเต็มรูปแบบ มันจะรัน Microsoft Edge ในโหมด Headless (ไม่แสดงหน้าต่าง) และใช้ Native Messaging เป็นสะพานเชื่อมระหว่างส่วนขยายกับ Python Backdoor ที่ทำหน้าที่เป็น executor บนระดับระบบ ซึ่ง Backdoor ดังกล่าวสามารถรัน Shell Commands, PowerShell, Python Code เขียนไฟล์, ระบุ Process ที่กำลังทำงาน และรวบรวมข้อมูลระบบได้ นอกจากนี้ยังพบ command ที่ยังไม่ถูกเปิดใช้งาน ซึ่งอาจปรากฏในเวอร์ชันถัดไป พื่อเป็นการลดความเสี่ยงและป้องกันผลกระทบจากการโจมตีในลักษณะนี้ ผู้ดูแลระบบเครือข่ายควรเพิ่มความเข้มงวดในการตรวจสอบและเฝ้าระวังการติดตั้งส่วนขยายบนเบราว์เซอร์ของอุปกรณ์ภายในองค์กร รวมถึงกำหนดนโยบายควบคุมการตั้งค่าระบบ Native Messaging อย่างรัดกุมเพื่อป้องกันการสื่อสารที่ผิดปกติ นอกจากนี้ องค์กรควรสื่อสารทำความเข้าใจกับพนักงานเกี่ยวกับการตรวจสอบแหล่งที่มาของการแจ้งเตือนให้อัปเดตซอฟต์แวร์ โดยเฉพาะเมื่อมีการติดต่อขอให้ติดตั้งโปรแกรมผ่านช่องทางแชทหรือลิงก์ภายนอก เบื้องต้นหน่วยงานสามารถตรวจสอบหาความผิดปกติในระบบเครือข่ายได้จากข้อมูล Indicators of Compromise (IoCs) ที่ทางนักวิจัยได้เผยแพร่ไว้ ซึ่งประกอบด้วย C2 Server, Hash ของส่วนขยายมัลแวร์ และ Python Backdoor สำหรับใช้ในการป้องกันและตรวจจับ