07/69 (IT) ประจำวันพุธที่ 7 มกราคม 2569
นักวิจัยด้านความปลอดภัยจาก Securonix ได้ตรวจพบการโจมตีทางไซเบอร์ระลอกใหม่ในชื่อ PHALT#BLYX ที่มุ่งเป้าไปยังธุรกิจกลุ่มการท่องเที่ยวและการโรงแรม โดยแฮกเกอร์จะใช้วิธีการส่งอีเมล Phishing แอบอ้างว่าเป็นลูกค้าจาก Booking[.]com ที่ต้องการยกเลิกการจองห้องพักพร้อมกับขอเงินคืนเป็นจำนวนเงินที่สูง เพื่อสร้างความเร่งด่วน เมื่อพนักงานกดลิงก์ในอีเมลก็จะถูกนำไปยังเว็บไซต์ปลอมที่ลอกเลียนแบบหน้าตาของ Booking[.]com ได้อย่างแนบเนียน จนยากที่จะแยกแยะด้วยตาเปล่าได้
ความน่าสนใจของการโจมตีครั้งนี้คือการใช้เทคนิคการหลอกลวงที่เรียกว่า ClickFix ร่วมกับการสร้างหน้าจอฟ้าแสดงข้อผิดพลาด (Blue Screen of Death : BSOD) ปลอม โดยเว็บไซต์ปลอมจะแสดงข้อความแจ้งเตือนว่า “โหลดหน้านานเกินไป” และเมื่อผู้ใช้งานกดรีเฟรช เบราว์เซอร์จะแสดงภาพหน้าจอสีฟ้าเลียนแบบอาการเครื่องค้าง พร้อมคำแนะนำที่หลอกลวงให้ผู้ใช้งานกดปุ่ม Windows + R ตามด้วย Ctrl + V และ Enter เพื่อแก้ไขปัญหา ซึ่งแท้จริงแล้วขั้นตอนเหล่านี้คือการหลอกให้ผู้ใช้งานวางชุดคำสั่งอันตราย (Malicious PowerShell) ที่แฮกเกอร์ฝังไว้ในคลิปบอร์ดลงไปในเครื่องด้วยตนเอง
หากเหยื่อหลงเชื่อทำตามขั้นตอนดังกล่าว ชุดคำสั่งจะทำการดาวน์โหลดและติดตั้งมัลแวร์ประเภท Remote Access Trojan (RAT) ที่ชื่อว่า DCRAT ลงในระบบทันที โดยมัลแวร์ตัวนี้มีความสามารถในการเข้าควบคุมเครื่องจากระยะไกล ดักจับการกดแป้นพิมพ์ ขโมยข้อมูลสำคัญ รวมถึงสามารถแอบติดตั้งโปรแกรมขุดเหรียญคริปโต และใช้เครื่องของเหยื่อเป็นฐานในการโจมตีเครือข่ายภายในองค์กรต่อไปได้ โดยกระบวนการทั้งหมดนี้ถูกออกแบบมาให้หลบเลี่ยงการตรวจจับของ Windows Defender ได้อีกด้วย
