332/68 (IT) ประจำวันพุธที่ 10 กันยายน 2568
นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์เปิดเผยการค้นพบแคมเปญมัลแวร์รูปแบบใหม่ชื่อ GPUGate ซึ่งมุ่งโจมตีบริษัทด้าน IT และ Software Development โดยอาศัยเทคนิค Malvertising ผ่านโฆษณาบน Google เพื่อหลอกผู้ใช้ที่ค้นหาเครื่องมือยอดนิยม เช่น GitHub Desktop ให้ดาวน์โหลดไฟล์อันตราย ซึ่งจุดเด่นของแคมเปญนี้คือการฝัง GitHub Commit ปลอมลงใน URL ที่มีลิงก์เปลี่ยนเส้นทางไปยังโดเมนควบคุมของผู้โจมตี (เช่น gitpage[.]app) ทำให้แม้ลิงก์จะดูเหมือนชี้ไปยัง GitHub จริง แต่กลับพาเหยื่อไปยังเว็บไซต์ปลอมที่ใช้ติดตั้งมัลแวร์แทน
มัลแวร์ GPUGate ถูกซ่อนในไฟล์ Microsoft Software Installer (MSI) ขนาด 128 MB ซึ่งใหญ่เกินกว่าที่ Sandbox ความปลอดภัยทั่วไปจะตรวจจับได้ อีกทั้งยังมีระบบ GPU-gated decryption ที่จะถอดรหัส Payload เฉพาะเมื่ออุปกรณ์มี GPU จริง ทำให้เลี่ยง VM หรือ Sandbox ที่นักวิจัยใช้วิเคราะห์ได้สำเร็จ เมื่อรันบนเครื่องเป้าหมาย มัลแวร์จะเรียกใช้ PowerShell Script ด้วยสิทธิ์ Administrator เพื่อปิด Microsoft Defender, ตั้ง Scheduled Task และติดตั้ง Payload เพิ่มเติม รวมถึงขโมยข้อมูลสำคัญ
จากการวิเคราะห์ของ Arctic Wolf พบว่าโครงสร้างพื้นฐานของผู้โจมตีมีร่องรอยของผู้พัฒนาที่ใช้ภาษารัสเซีย และยังถูกนำไปใช้ปล่อยมัลแวร์ข้ามแพลตฟอร์ม เช่น Atomic macOS Stealer (AMOS) นอกจากนี้ยังพบความเชื่อมโยงกับแคมเปญโจมตีที่ใช้ ConnectWise ScreenConnect Trojanized เพื่อกระจาย RAT อย่าง AsyncRAT และ PureHVNC ในสหรัฐอเมริกา ซึ่งแสดงให้เห็นถึงการพัฒนาของภัยคุกคามที่ประสานหลายเทคนิคเข้าด้วยกันเพื่อหลบเลี่ยงการตรวจจับและเพิ่มประสิทธิภาพการโจมตีอย่างต่อเนื่อง
แหล่งข่าว https://thehackernews.com/2025/09/gpugate-malware-uses-google-ads-and.html
