369/68 (IT) ประจำวันจันทร์ที่ 29 กันยายน 2568
ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ตรวจพบการโจมตี โดยแฮกเกอร์ใช้เทคนิค SEO poisoning และโฆษณาบนเสิร์ชเอนจินเพื่อโปรโมตเว็บไซต์ปลอมที่ให้บริการดาวน์โหลดโปรแกรม Microsoft Teams เมื่อติดตั้งแล้วจะทำให้เครื่องคอมพิวเตอร์ติดมัลแวร์ Oyster ซึ่งเป็นช่องทางเปิดทางให้ผู้โจมตีเข้าถึงระบบเครือข่ายขององค์กรได้ในขั้นต้น
มัลแวร์ Oyster หรือที่รู้จักในชื่อ Broomstick และ CleanUpLoader ปรากฏครั้งแรกตั้งแต่กลางปี 2023 และถูกนำไปใช้ในหลายแคมเปญโจมตี ข้อมูลชี้ว่ามัลแวร์ชนิดนี้สามารถเปิดทางให้ผู้ไม่หวังดีเข้าควบคุมอุปกรณ์จากระยะไกล สั่งรันคำสั่งเพิ่มเติม ติดตั้งเพย์โหลดใหม่ รวมถึงขโมยหรือถ่ายโอนไฟล์ได้ โดยที่ผ่านมามักถูกกระจายผ่านโฆษณาปลอมของเครื่องมือยอดนิยม เช่น Putty และ WinSCP และยังมีการเชื่อมโยงกับปฏิบัติการแรนซัมแวร์อย่าง Rhysida อีกด้วย
ล่าสุด นักวิจัยจาก Blackpoint SOC พบว่า ผู้โจมตีสร้างโดเมนปลอม teams-install[.]top ซึ่งเลียนแบบเว็บไซต์ทางการของ Microsoft Teams เมื่อผู้ใช้งานกดดาวน์โหลดจะได้ไฟล์ชื่อ MSTeamsSetup[.]exe ที่ภายนอกดูเหมือนถูกต้อง แต่แท้จริงแล้วภายในจะติดตั้ง CaptureService[.]dll ลงในเครื่อง พร้อมสร้าง Scheduled Task ให้ทำงานซ้ำทุก 11 นาทีเพื่อคงการเข้าถึงของมัลแวร์ โดยผู้เชี่ยวชาญเตือนว่าแนวโน้มนี้คล้ายกรณีตัวติดตั้งปลอมของ Chrome และ Teams ก่อนหน้านี้ แสดงให้เห็นว่าการใช้ SEO poisoning และการโฆษณาที่มุ่งร้าย ยังเป็นกลยุทธ์ที่นิยมของแฮกเกอร์ ดังนั้นผู้ดูแลระบบและผู้ใช้งานทั่วไปควรดาวน์โหลดซอฟต์แวร์จากเว็บไซต์ทางการเท่านั้น และหลีกเลี่ยงการกดลิงก์จากโฆษณาในเสิร์ชเอนจินเพื่อป้องกันการตกเป็นเหยื่อ
