40/69 (IT) ประจำวันพฤหัสดีที่ 22 มกราคม 2569
นักวิจัยด้านความปลอดภัยจาก Huntress ได้พบแคมเปญการโจมตีทางไซเบอร์รูปแบบใหม่จากกลุ่มแฮกเกอร์ที่ชื่อว่า KongTuke ซึ่งมุ่งเป้าเจาะระบบเครือข่ายขององค์กรเป็นหลัก โดยใช้เทคนิคที่เรียกว่า CrashFix การโจมตีเริ่มต้นจากการหลอกให้ผู้ใช้ติดตั้งส่วนขยาย (Extension) ป้องกันโฆษณาปลอมบน Google Chrome ที่ชื่อว่า NexShield ซึ่งถูกออกแบบมาให้เลียนแบบ uBlock Origin Lite ได้อย่างแนบเนียน ทั้งการปลอมแปลงชื่อผู้พัฒนาและสร้างหน้าช่วยเหลือปลอม เมื่อเหยื่อหลงเชื่อติดตั้งลงในเครื่อง ส่วนขยายนี้จะรอเวลาประมาณ 60 นาที ก่อนจะรันสคริปต์เพื่อส่งคำสั่งเชื่อมต่อจำนวนมาก (ยิง DoS) ใส่เครื่องคอมพิวเตอร์ของเหยื่อ จนทรัพยากรเครื่องถูกใช้จนหมด ส่งผลให้เบราว์เซอร์ค้างและล่มไปในที่สุด
เมื่อผู้ใช้งานพยายามเปิดเบราว์เซอร์ขึ้นมาใหม่ จะพบกับกับดักขั้นถัดไปคือหน้าต่างแจ้งเตือนความปลอดภัยปลอม อ้างว่าเบราว์เซอร์ปิดตัวผิดปกติและตรวจพบปัญหาความปลอดภัย พร้อมกับแนะนำขั้นตอนการแก้ไขด้วยตนเอง โดยหลอกให้ผู้ใช้กดปุ่ม Win + R (เปิดหน้าต่าง Run) ตามด้วย Ctrl + V (วางคำสั่ง) และกด Enter ซึ่งแท้จริงแล้วแฮกเกอร์ได้แอบฝังชุดคำสั่งอันตรายไว้ในคลิปบอร์ดของผู้ใช้รอไว้แล้ว คำสั่งนี้จะอาศัยช่องโหว่ของเครื่องมือใน Windows ที่ชื่อ finger.exe (โดยเปลี่ยนชื่อเป็น ct.exe) เพื่อทำการดาวน์โหลดมัลแวร์เข้ามาติดตั้งในเครื่องทันที
มัลแวร์ที่ถูกปล่อยลงเครื่องคือ ModeloRAT ซึ่งเป็นมัลแวร์ประเภท Backdoor ที่เขียนด้วยภาษา Python ทำหน้าที่เป็นช่องทางลับให้แฮกเกอร์เข้ามาขโมยไฟล์ข้อมูลสำคัญและรหัสผ่านของบริษัท โดยมันจะพรางตัวในรายการโปรเซสของเครื่องด้วยชื่อที่ดูไม่อันตราย เช่น Spotify47 หรือ Adobe2841 นอกจากนี้ ModeloRAT ยังมีความฉลาดในการตรวจจับสภาพแวดล้อม หากมันพบว่ากำลังทำงานอยู่ในเครื่องของนักวิจัยความปลอดภัยหรือ Sandbox เช่น ตรวจเจอโปรแกรม Wireshark มันจะหยุดทำงานหรือส่งข้อความหลอก ๆ กลับไป เพื่อป้องกันการถูกวิเคราะห์ ผู้เชี่ยวชาญแนะนำให้ตรวจสอบชื่อผู้พัฒนาส่วนขยายให้ถี่ถ้วน และหากเบราว์เซอร์ล่มแล้วมีการร้องขอให้ผู้ใช้รันคำสั่ง Command Line เพื่อแก้ปัญหา ให้สันนิษฐานทันทีว่าเป็นกับดักของแฮกเกอร์
แหล่งข่าว https://hackread.com/clickfix-crashfix-kongtuke-fake-chrome-ad-blocker-modelorat/
