ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์ และพบการโจมตีด้วยมัลแวร์ “DeepLoad” ซึ่งเป็นมัลแวร์รูปแบบใหม่ โดยใช้เทคนิคหลอกลวงผู้ใช้งานด้วยวิธี ClickFix ซึ่งเป็นการหลอกให้ผู้ใช้คัดลอกและรันคำสั่งอันตรายด้วยตนเอง ผ่านหน้าเว็บหรือข้อความแจ้งเตือนปลอม (Pop-up) ร่วมกับการใช้กลไก Windows Management Instrumentation (WMI) ซึ่งเป็นเครื่องมือภายในระบบปฏิบัติการ Windows สำหรับควบคุมและจัดการระบบ เพื่อฝังตัวและกลับมาทำงานซ้ำ (Persistence) ส่งผลให้มัลแวร์สามารถหลบเลี่ยงการตรวจจับและคงอยู่ในระบบได้อย่างต่อเนื่อง
หากไม่ดำเนินการป้องกันอย่างเหมาะสม ผู้ไม่หวังดีอาจสามารถเข้าถึงข้อมูลสำคัญของผู้ใช้งานได้ เช่น รหัสผ่านที่จัดเก็บในเบราว์เซอร์ ข้อมูลการยืนยันตัวตน (Session) รวมถึงข้อมูลระหว่างการใช้งานระบบ ทั้งนี้ ด้วยความสามารถของมัลแวร์ในการฝังตัวผ่านกลไก WMI และกลับมาทำงานซ้ำ (Persistence) อาจทำให้การตรวจจับและกำจัดทำได้ยาก ส่งผลให้เครื่องที่ติดมัลแวร์ถูกใช้เป็นจุดเริ่มต้นในการแพร่กระจายไปยังระบบหรืออุปกรณ์อื่นภายในองค์กรได้อย่างต่อเนื่อง
1. รายละเอียดภัยคุกคาม [1]
DeepLoad เป็นมัลแวร์ที่เพิ่งถูกตรวจพบ โดยเริ่มต้นการโจมตีผ่านเทคนิค ClickFix ซึ่งหลอกลวงให้ผู้ใช้งานคัดลอกและวางคำสั่ง PowerShell ลงในหน้าต่าง Run ของระบบปฏิบัติการ Windows (Win+R) เพื่อให้ผู้ใช้รันคำสั่งอันตรายด้วยตนเอง
คำสั่งดังกล่าวจะเรียกใช้ mshta.exe (Microsoft HTML Application Host) ซึ่งเป็นโปรแกรมที่มีอยู่ในระบบ Windows สำหรับรันไฟล์ HTML Application (HTA) แต่ถูกผู้โจมตีนำมาใช้ในลักษณะ Living-off-the-Land (LOLBins) เพื่อเรียกใช้โค้ดจากแหล่งภายนอก และรัน PowerShell loader โดยไม่ต้องเขียนไฟล์ลงดิสก์ ส่งผลให้สามารถหลบเลี่ยงการตรวจจับจากระบบป้องกันแบบ signature-based ได้ นอกจากนี้ โค้ดของมัลแวร์ยังถูกทำให้มีความซับซ้อน (Obfuscation) ด้วยการเพิ่มโค้ดจำนวนมาก และมีแนวโน้มใช้เทคโนโลยี AI ในการสร้างหรือปรับแต่ง เพื่อเพิ่มประสิทธิภาพในการหลบเลี่ยงการตรวจจับจากระบบรักษาความปลอดภัย โดยมีลักษณะการโจมตีและพฤติกรรมที่สำคัญ ดังนี้
1.1 ผู้โจมตีจะสร้างหน้าเว็บไซต์ปลอมที่แจ้งเตือนข้อผิดพลาด เช่น ปัญหาเบราว์เซอร์หรือการประชุมออนไลน์ และหลอกให้เหยื่อกดปุ่ม “แก้ไข” ซึ่งคือการคัดลอกคำสั่ง PowerShell อันตรายไปวางใน Windows Run (Win+R) เพื่อรันมัลแวร์โดยตรง
1.2 ตัว Loader ของมัลแวร์มีแนวโน้มใช้เทคโนโลยี AI ในการสร้างหรือปรับแต่งโค้ด เพื่อเพิ่ม Junk Code จำนวนมหาศาล ทำให้ซอฟต์แวร์แอนตี้ไวรัสตรวจจับได้ยาก และมีการเพิ่มโค้ดเข้าไปในขั้นตอนที่เกี่ยวข้องกับหน้าจอ
1.3 มัลแวร์ดังกล่าวจะสร้างกลไกใน Windows Management Instrumentation (WMI) เพื่อให้สามารถทำงานได้โดยอัตโนมัติ และในกรณีที่มัลแวร์ถูกลบออก ระบบ WMI จะสั่งให้มัลแวร์กลับมาทำงานใหม่ภายในระยะเวลาที่กำหนด
1.4 เป้าหมายการโจมตี มุ่งเน้นไปที่การขโมยข้อมูลการยืนยันตัวตนจากเบราว์เซอร์ (เช่น Stored Credentials, Session Tokens และข้อมูลการพิมพ์ผ่านคีย์บอร์ด)
นอกจากนี้ ในบางกรณีอาจมีการติดตั้งส่วนขยายเบราว์เซอร์ที่เป็นอันตราย เพื่อดักจับข้อมูลการใช้งานของผู้ใช้แบบเรียลไทม์ เช่น ข้อมูลการเข้าสู่ระบบ หน้าเว็บที่เปิดใช้งาน และข้อมูลเซสชัน ซึ่งส่งผลให้ผู้ไม่หวังดีสามารถเข้าควบคุมบัญชีของผู้ใช้งานได้อย่างต่อเนื่อง โดยพฤติกรรมดังกล่าวอาจเกิดขึ้นได้ทันทีตั้งแต่เริ่มการติดเชื้อ
2. ความเสี่ยงและผลกระทบ
หากการโจมตีประสบความสำเร็จ ผู้ไม่หวังดีอาจสามารถเข้าถึงบัญชีสำคัญของเหยื่อได้ทันที รวมถึงบัญชีภายในองค์กร (SaaS, VPN) นอกจากนี้ ด้วยความสามารถของมัลแวร์ในการฝังตัวผ่านกลไก Windows Management Instrumentation (WMI) และกลับมาทำงานซ้ำ (Persistence) ทำให้การตรวจจับและกำจัดด้วยวิธีการทั่วไป เช่น การสแกนไวรัส อาจไม่เพียงพอ ส่งผลให้ระบบมีความเสี่ยงต่อการถูกควบคุมอย่างต่อเนื่อง และอาจถูกใช้เป็นจุดเริ่มต้นในการขยายการโจมตีภายในเครือข่าย (Lateral Movement)
3. ผลิตภัณฑ์/ระบบที่ได้รับผลกระทบ
3.1 อุปกรณ์คอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows ซึ่งผู้ใช้งานอาจถูกหลอกให้รันคำสั่งผ่านเทคนิค ClickFix
3.2 อุปกรณ์ปลายทางภายในองค์กรที่มีการใช้งานเบราว์เซอร์ และมีการจัดเก็บรหัสผ่านหรือข้อมูลการยืนยันตัวตน
3.3 ระบบภายในองค์กรและบริการที่เข้าถึงผ่านเบราว์เซอร์ เช่น SaaS, VPN หรือระบบงานสำคัญ ซึ่งอาจได้รับผลกระทบจากการถูกขโมยข้อมูลบัญชีผู้ใช้งาน
3.4 ระบบเครือข่ายภายในองค์กรที่เชื่อมต่อกับเครื่องที่ติดมัลแวร์ ซึ่งอาจถูกใช้เป็นช่องทางในการแพร่กระจายหรือขยายผลการโจมตี
4. แนวทางการป้องกันและลดความเสี่ยง [2]
4.1 เตือนผู้ใช้งานไม่ให้คัดลอกหรือวางคำสั่งลงในหน้าต่าง Run, PowerShell หรือ Command Prompt ตามคำแนะนำจากหน้าเว็บหรือป๊อปอัปที่ไม่รู้จัก
4.2 เปิดใช้งาน PowerShell Script Block Logging เพื่อบันทึกพฤติกรรมการรันสคริปต์ PowerShell ทั้งหมดในระบบ
4.3 ตรวจสอบและลบ WMI Event Subscription ที่ผิดปกติซึ่งอาจถูกใช้เป็นช่องทางในการสั่งรันมัลแวร์ซ้ำ
4.4 รีเซ็ตรหัสผ่านและยกเลิกเซสชันของบัญชีทั้งหมดที่มีการใช้งานบนเครื่องที่ได้รับผลกระทบ
4.5 ตรวจสอบส่วนขยายเบราว์เซอร์บนอุปกรณ์ที่ได้รับผลกระทบ และลบส่วนขยายที่ไม่ได้ติดตั้งผ่านกระบวนการขององค์กรหรืออยู่ในตำแหน่งติดตั้งที่ผิดปกติ
แหล่งอ้างอิง