131/69 (IT) ประจำวันศุกร์ที่ 6 มีนาคม 2569
ทีมวิจัย Microsoft Defender ตรวจพบแคมเปญฟิชชิงรูปแบบใหม่ที่เริ่มพบช่วงกุมภาพันธ์ 2026 โดยมุ่งเป้าโจมตีพนักงานออฟฟิศผ่านคำเชิญประชุมปลอมที่อ้างอิง Zoom และ Microsoft Teams รวมถึงการหลอกให้คลิกไฟล์ PDF ที่ถูกทำให้เบลอเพื่อจูงใจให้เปิด เมื่อเหยื่อหลงเชื่อคลิกลิงก์จะถูกนำไปยังเว็บไซต์ดาวน์โหลดปลอมที่เลียนแบบหน้าเว็บทางการ พร้อมแจ้งเตือนว่าโปรแกรมล้าสมัยและต้องอัปเดตก่อนเข้าร่วมประชุม ซึ่งเป็นเทคนิคทางวิศวกรรมสังคมที่สร้างความน่าเชื่อถือและเร่งให้เหยื่อตัดสินใจ
ความเสี่ยงของแคมเปญคือผู้โจมตีใช้ใบรับรองดิจิทัลแบบ Extended Validation (EV Certificate) ที่ถูกละเมิดซึ่งเกี่ยวข้องกับบริษัท TrustConnect Software PTY LTD เพื่อลงลายเซ็นดิจิทัลในไฟล์อันตราย ทำให้ไฟล์ดูน่าเชื่อถือและบายพาสระบบป้องกันความปลอดภัยมาตรฐานได้ โดยไฟล์ที่ถูกดาวน์โหลด เช่น msteams.exe หรือ adobereader.exe ทำหน้าที่เป็นตัวเริ่มกระบวนการติดตั้ง ก่อนเรียกใช้คำสั่ง PowerShell แบบเข้ารหัสเพื่อติดตั้งเครื่องมือ Remote Monitoring and Management (RMM) เช่น ScreenConnect และ MeshAgent ส่งผลให้ผู้โจมตีสามารถฝังตัวในระบบและเข้าถึงเครือข่ายได้อย่างต่อเนื่อง
เมื่อผู้โจมตีฝังตัวในระบบได้สำเร็จ จะเริ่มดำเนินการเคลื่อนไหวภายในเครือข่ายเพื่อขโมยรหัสผ่านหรือติดตั้งแรนซัมแวร์ในขั้นตอนต่อไป ผู้เชี่ยวชาญเน้นย้ำว่าลายเซ็นดิจิทัลที่ถูกต้องเพียงอย่างเดียวไม่สามารถใช้ยืนยันความปลอดภัยได้เสมอไปในยุคที่กุญแจเข้ารหัสถูกโจรกรรมได้ องค์กรควรใช้กลยุทธ์การป้องกันที่เน้นการตรวจสอบพฤติกรรมควบคู่ไปกับแบบจำลอง Zero Trust สำหรับผู้ใช้งานทั่วไปแนะนำให้หลีกเลี่ยงการอัปเดตซอฟต์แวร์ผ่านลิงก์ที่แนบมาในอีเมล และควรอัปเดตผ่าน App Store หรือเว็บไซต์ทางการของผู้พัฒนาโดยตรงเท่านั้น
แหล่งข่าว https://hackread.com/fake-zoom-teams-invites-malware-certificates/
