150/69 (IT) ประจำวันจันทร์ที่ 16 มีนาคม 2569
Microsoft Defender ตรวจพบแคมเปญขโมยข้อมูลบัญชีผู้ใช้งาน (Credential Theft) ที่เชื่อมโยงกับกลุ่ม Storm-2561 โดยผู้โจมตีใช้เทคนิค SEO poisoning เพื่อดันผลลำดับการค้นหาบน Search Engine เมื่อผู้ใช้ค้นหาคำ เช่น “Pulse Secure client” หรือ “VPN download” จะถูกพาไปยังเว็บไซต์ปลอมที่เลียนแบบผู้ผลิตจริงอย่าง Ivanti, Cisco และ Fortinet เพื่อหลอกให้ดาวน์โหลดซอฟต์แวร์อันตราย
เมื่อเหยื่อดาวน์โหลดไฟล์ ZIP จาก Github และรันไฟล์ติดตั้ง MSI ที่ถูกดัดแปลง มัลแวร์จะวางไฟล์ลงในเครื่องและใช้เทคนิค DLL sideloading เพื่อโหลดมัลแวร์ Hyrax infostealer ซึ่งมีความสามารถในการขโมยข้อมูลล็อกอิน VPN และดึงข้อมูลการเชื่อมต่อจากไฟล์ connectionstore.dat นอกจากนี้ยังมีการเพิ่มค่าใน Registry ผ่าน RunOnce เพื่อให้ทำงานโดยอัตโนมัติทุกครั้งที่เริ่มระบบใหม่ โดยมีการใช้ใบรับรองดิจิทัลเพื่อหลบเลี่ยงการตรวจจับ ก่อนใบรับรองดังกล่าวจะถูกเพิกถอนในภายหลัง
Microsoft ระบุว่าอีกหนึ่งเทคนิคสำคัญของแคมเปญคือ Post-theft Redirection หรือการอำพรางร่องรอยหลังขโมยข้อมูลสำเร็จ โดยมัลแวร์จะแสดงข้อความข้อผิดพลาดที่ดูน่าเชื่อถือและแนะนำให้ผู้ใช้ดาวน์โหลดซอฟต์แวร์จากเว็บไซต์ทางการแทน หากเหยื่อติดตั้งซอฟต์แวร์จริงสำเร็จ เหตุการณ์ที่เกิดขึ้นก่อนหน้าจะดูเหมือนเป็นเพียงข้อผิดพลาดทางเทคนิคทั่วไป ทำให้ผู้ใช้ไม่ทันสังเกตว่าข้อมูลสำคัญถูกส่งไปยังเซิร์ฟเวอร์ควบคุม (C2) แล้ว