ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ขอแจ้งเตือนผู้ใช้งานระบบปฏิบัติการ Windows ให้ระวังแคมเปญหลอกลวงรูปแบบใหม่ ซึ่งผู้ไม่หวังดีสร้างเว็บไซต์ปลอมให้ดูคล้ายหน้าเว็บดาวน์โหลด Claude ของจริง เพื่อหลอกให้ผู้ใช้ดาวน์โหลดไฟล์ติดตั้งปลอม เมื่อเปิดใช้งานไฟล์ดังกล่าว เครื่องอาจถูกติดตั้งมัลแวร์ PlugX โดยที่ผู้ใช้ไม่รู้ตัว ส่งผลให้ผู้โจมตีสามารถควบคุมเครื่อง ขโมยข้อมูล หรือใช้เครื่องเป็นจุดเริ่มต้นในการโจมตีต่อได้
1. รายละเอียดและพฤติการณ์ของภัยคุกคาม [1]
1.1 ผู้โจมตีจะสร้างเว็บไซต์ปลอมให้ดูเหมือนเป็นหน้าดาวน์โหลด Claude สำหรับ Windows และใช้ชื่อไฟล์ที่ทำให้น่าเชื่อถือ เช่น Claude-Pro-windows-x64.zip เพื่อหลอกให้ผู้ใช้ดาวน์โหลดและติดตั้ง
1.2 เมื่อผู้ใช้เปิดไฟล์ดังกล่าว ระบบจะสร้างทางลัดชื่อ Claude AI.lnk บนหน้าจอ และแสดงโปรแกรมปลอมขึ้นมาให้ดูเหมือนใช้งานได้ตามปกติ แต่เบื้องหลังมีการติดตั้งมัลแวร์ PlugX ลงในเครื่อง
1.3 มัลแวร์นี้ใช้เทคนิคหลบเลี่ยงการตรวจจับ โดยอาศัยไฟล์ที่มีลายเซ็นดิจิทัลจริงร่วมกับไฟล์อันตราย เพื่อให้ระบบเข้าใจว่าเป็นโปรแกรมที่น่าเชื่อถือ และช่วยให้มัลแวร์ทำงานได้ง่ายขึ้น
นอกจากนี้ มัลแวร์ยังพยายามฝังตัวให้เริ่มทำงานอัตโนมัติทุกครั้งที่เปิดเครื่อง และติดต่อกลับไปยังเซิร์ฟเวอร์ของผู้โจมตี เพื่อรอรับคำสั่งเพิ่มเติม
2. ผลกระทบที่อาจเกิดขึ้น
2.1 ผู้โจมตีอาจควบคุมเครื่องได้
2.2 ข้อมูลสำคัญหรือข้อมูลการใช้งานอาจถูกขโมย
2.3 เครื่องที่ติดมัลแวร์อาจถูกใช้เป็นฐานสำหรับโจมตีระบบอื่นต่อ
2.4 มัลแวร์อาจยังคงอยู่ในระบบแม้ผู้ใช้จะรีสตาร์ตเครื่องแล้ว
.3. ผู้ที่อาจได้รับผลกระทบ
3.1 ผู้ใช้งาน Windows ที่ดาวน์โหลด Claude จากเว็บไซต์ปลอมหรือจากลิงก์ที่ไม่น่าเชื่อถือ
3.2 ผู้ใช้งานที่เปิดไฟล์ติดตั้งจากแหล่งที่ไม่ใช่เว็บไซต์ทางการ
3.3 องค์กรที่เปิดให้ผู้ใช้ติดตั้งซอฟต์แวร์เอง โดยไม่มีมาตรการควบคุมหรือคัดกรองไฟล์ดาวน์โหลด
4. แนวทางป้องกันสำหรับผู้ใช้งาน
4.1 ดาวน์โหลด Claude จากเว็บไซต์ทางการของ Anthropic หรือ Claude เท่านั้น [2]
4.2 ห้ามดาวน์โหลดโปรแกรมจากลิงก์ในอีเมล โฆษณา หรือเว็บไซต์ที่ดูน่าสงสัย
4.3 ตรวจสอบชื่อโดเมนของเว็บไซต์ทุกครั้งก่อนดาวน์โหลด
4.4 ใช้โปรแกรมป้องกันมัลแวร์และอัปเดตระบบปฏิบัติการอย่างสม่ำเสมอ
4.5 จำกัดสิทธิ์การติดตั้งโปรแกรมในเครื่อง โดยเฉพาะในเครื่องขององค์กร
5. มาตรการลดความเสี่ยง
5.1 หากสงสัยว่าเครื่องติดมัลแวร์ ให้ตัดการเชื่อมต่ออินเทอร์เน็ตทันที
5.2 สแกนเครื่องด้วยโปรแกรมป้องกันมัลแวร์ที่เชื่อถือได้
5.3 เปลี่ยนรหัสผ่านของบัญชีสำคัญที่เคยใช้งานบนเครื่องดังกล่าว เช่น อีเมล หรือบัญชีงาน
5.4 ตรวจสอบไฟล์ที่ผิดปกติในเครื่อง โดยเฉพาะไฟล์ที่เกี่ยวข้องกับการติดตั้ง Claude ปลอม
5.5 หากเป็นเครื่องในองค์กร ควรแจ้งผู้ดูแลระบบเพื่อตรวจสอบเครื่อง และป้องกันไม่ให้เกิดการแพร่กระจาย
แหล่งอ้างอิง