189/68 (IT) ประจำวันจันทร์ที่ 26 พฤษภาคม 2568
นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์ได้ออกมาเผยถึงแคมเปญมัลแวร์ล่าสุด ที่แฮกเกอร์ใช้โปรแกรมติดตั้งซอฟต์แวร์ปลอมซึ่งแอบอ้างเป็นเครื่องมือยอดนิยมอย่าง LetsVPN และ QQ Browser เพื่อแพร่กระจายเฟรมเวิร์กมัลแวร์อันตรายที่ชื่อว่า Winos 4.0 แคมเปญดังกล่าวถูกตรวจพบครั้งแรกโดยบริษัท Rapid7 เมื่อเดือนกุมภาพันธ์ 2025 ที่ผ่านมา โดยอาศัยตัวโหลดมัลแวร์แบบหลายขั้นตอนที่ทำงานอยู่ภายในหน่วยความจำของเครื่องคอมพิวเตอร์ มีชื่อเรียกว่า Catena ซึ่งถูกออกแบบมาเพื่อหลบเลี่ยงการตรวจจับจากโปรแกรมป้องกันไวรัสแบบดั้งเดิมได้อย่างแยบยล จากการเปิดเผยของนักวิจัย Anna Širokova และ Ivan Feigl ระบุว่า “Catena ใช้เทคนิคฝังเชลล์โค้ด (shellcode) และตรรกะการสลับการตั้งค่าเพื่อส่งเพย์โหลดอย่าง Winos 4.0 เข้าสู่หน่วยความจำโดยตรง เมื่อติดตั้งสำเร็จ มันจะเชื่อมต่อกับเซิร์ฟเวอร์สั่งการและควบคุม (C2) ของผู้โจมตี ซึ่งส่วนใหญ่ตั้งอยู่ในฮ่องกง เพื่อรอรับคำสั่งเพิ่มเติมหรือมัลแวร์อื่นๆ”
Winos 4.0 หรือที่รู้จักกันในอีกชื่อหนึ่งว่า ValleyRAT ถูกเปิดเผยต่อสาธารณะเป็นครั้งแรกโดย Trend Micro เมื่อเดือนมิถุนายน 2024 ว่าถูกใช้ในการโจมตีที่มุ่งเป้าไปยังผู้ใช้งานที่พูดภาษาจีนผ่านไฟล์ติดตั้ง Windows Installer (MSI) ที่เป็นอันตรายสำหรับแอปพลิเคชัน VPN ซึ่งเชื่อมโยงกับกลุ่มภัยคุกคามที่ชื่อว่า Void Arachne หรือ Silver Fox โดย Winos 4.0 นี้เป็นเฟรมเวิร์กมัลแวร์ขั้นสูงที่พัฒนาต่อยอดมาจาก Gh0st RAT ซึ่งเป็นโทรจันสำหรับการเข้าถึงระยะไกล (Remote Access Trojan) ที่รู้จักกันดี Winos 4.0 เขียนด้วยภาษา C++ และมีระบบปลั๊กอินที่ช่วยให้ผู้โจมตีสามารถเก็บเกี่ยวข้อมูล สั่งการเครื่องจากระยะไกล (Remote Shell) และแม้กระทั่งใช้เครื่องที่ติดเชื้อเป็นฐานในการโจมตีแบบ Distributed Denial-of-Service (DDoS) ได้อีกด้วย แคมเปญก่อนหน้านี้ยังเคยใช้แอปพลิเคชันเกี่ยวกับเกมเป็นเหยื่อล่อ หรือแม้กระทั่งการโจมตีหน่วยงานในไต้หวันผ่านอีเมลฟิชชิ่งที่ปลอมเป็นกรมสรรพากร
ในช่วงต้นปี 2025 มีการปรับเปลี่ยนยุทธวิธี โดยใช้ไฟล์ติดตั้ง NSIS ปลอมที่ปลอมตัวเป็นตัวติดตั้งของ LetsVPN และแฝงคำสั่ง PowerShell เพื่อยกเว้นโฟลเดอร์ทั้งหมดจาก Microsoft Defender จากนั้นปล่อยโหลดมัลแวร์เพิ่มเติม เช่น ไฟล์ที่ใช้ตรวจสอบโปรเซส และโหลด DLL ที่จะเชื่อมต่อไปยังเซิร์ฟเวอร์ควบคุมเพื่อดาวน์โหลด Winos 4.0 โดยอาศัยใบรับรองดิจิทัลที่หมดอายุซึ่งระบุชื่อบริษัท Tencent เพื่อหลีกเลี่ยงการถูกตรวจจับ ทั้งนี้แคมเปญดังกล่าวยังคงดำเนินอยู่ในปี 2025 โดยแสดงให้เห็นถึงความสามารถในการปรับเปลี่ยนทางเทคนิคอย่างต่อเนื่องของกลุ่มผู้โจมตีและการมุ่งเน้นโจมตีเป้าหมายในภูมิภาคที่ใช้ภาษาจีนเป็นหลัก
แหล่งข่าว https://thehackernews.com/2025/05/hackers-use-fake-vpn-and-browser-nsis.html
