351/69 (IT) ประจำวันจันทร์ที่ 29 มิถุนายน 2569
นักวิจัยด้านความปลอดภัยเปิดเผยแคมเปญฟิชชิงที่มุ่งเป้าไปยังองค์กรในธุรกิจโรงแรมและที่พัก โดยผู้โจมตีส่งอีเมลปลอมในลักษณะข้อร้องเรียนจากลูกค้า การแจ้งปัญหาห้องพัก หรือคำเตือนเกี่ยวกับการเข้าพัก เพื่อหลอกให้พนักงานฝ่ายต้อนรับ ฝ่ายจองห้องพัก หรือส่วนงานที่เกี่ยวข้อง คลิกลิงก์และดาวน์โหลดไฟล์ ZIP ที่อ้างว่าเป็นรูปภาพหรือเอกสารประกอบ
รายงานระบุว่า ผู้โจมตีใช้บริการที่น่าเชื่อถือ เช่น ระบบแจ้งเตือนอีเมลของ Calendly และฟังก์ชันเปลี่ยนเส้นทาง URL ของ Google เพื่อทำให้อีเมลฟิชชิงดูน่าเชื่อถือและผ่านการตรวจสอบ SPF, DKIM และ DMARC ได้ เมื่อเหยื่อเปิดไฟล์ shortcut ที่ปลอมเป็นรูปภาพ เช่น IMG-<ตัวเลข>.png.lnk หรือ PHOTO-<ตัวเลข>.png.lnk ไฟล์ดังกล่าวจะเรียกใช้ PowerShell ที่ถูกทำให้สับสนเพื่อดาวน์โหลดสคริปต์เพิ่มเติม และนำไปสู่การติดตั้ง implant ที่ถูกติดตามในชื่อ TonRAT ที่ทำงานผ่าน Node.js บนเครื่องของผู้ใช้
มัลแวร์ดังกล่าวถูกออกแบบให้คงอยู่ในระบบผ่าน registry หลายจุด และสามารถติดต่อเซิร์ฟเวอร์ควบคุมผ่านพอร์ตที่ไม่ใช่มาตรฐาน รวมถึงมีพฤติกรรมดาวน์โหลด payload เพิ่มเติมและหลบเลี่ยงการตรวจจับในบางขั้นตอน แม้ยังไม่สามารถยืนยันวัตถุประสงค์สุดท้ายของผู้โจมตีได้ แต่พฤติกรรมการฝังตัวและรักษาการเข้าถึงสะท้อนความเสี่ยงต่อการโจมตีต่อเนื่อง องค์กรในธุรกิจโรงแรมและที่พักควรแจ้งเตือนพนักงานให้ระวังอีเมลร้องเรียนหรือไฟล์รูปภาพจากแหล่งที่ไม่คุ้นเคย ตรวจสอบไฟล์ .lnk ที่อยู่ใน ZIP และเฝ้าระวังการรัน PowerShell, Node.js ใน path ของผู้ใช้ และ registry persistence ที่ผิดปกติ