Month: กุมภาพันธ์ 2026

Windows Defender นั้นมักจะเป็นเครื่องป้องกันภัยไซเบอร์ด่านแรก ๆ สำหรับผู้ใช้งาน Windows เสมอ เนื่องมาจากการที่เป็นเครื่องมือป้องกันแบบฟรีที่ติดตั้งมาพร้อมกับ Windows และนั่นก็ทำให้มัลแวร์หลายตัวพยายามที่จะปิดเครื่องมือป้องกันตัวนี้

จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบมัลแวร์นกต่อ หรือ Loader ตัวใหม่ที่ไม่ถูกระบุชื่อ ที่มีความสามารถในการเข้าลอบปิดเครื่องมือป้องกันภัยไซเบอร์ Windows Defender เพื่อที่จะทำการปล่อยมัลแวร์ประเภทเข้าควบคุมเครื่องจากระยะไกล หรือ RAT (Remote Access Trojan) ที่มีชื่อว่า Amnesia RAT ที่มีความสามารถในการเข้าขโมยรหัสผ่านจากเว็บเบราว์เซอร์, ข้อมูลทางการเงิน, เหรียญในกระเป๋าเงินคริปโตเคอร์เรนซี (Crypto Wallet) และการเข้าควบคุมเครื่องจากระยะไกล กับมัลแวร์ประเภทเรียกค่าไถ่จากเหยื่อ หรือ Ransomware ชื่อ Hakuna Matata ที่มีความสามารถในการเข้ารหัสไฟล์บนเครื่องของเหยื่อเป็นไฟล์สกุล NeverMind12F แล้วใช้งาน WinLocker เพื่อล็อกเครื่องของเหยื่อ และนับเวลาถอยหลัง กดดันเหยื่อให้จ่ายเงินค่าไถ่

ทางทีมวิจัยจาก Fortinet บริษัทผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ระดับชั้นนำ ได้เผยข้อมูลรายละเอียดเกี่ยวกับมัลแวร์ Loader ไร้ชื่อดังกล่าวว่า แฮกเกอร์นั้นจะทำการหลอกลวงเหยื่อด้วยการส่งไฟล์ที่อ้างว่าเป็นเอกสารทางธุรกิจให้กับเหยื่อ (คาดว่าเป็นการส่งผ่านทางอีเมล ซึ่งเป็นวิธีการหลอกลวงแบบ Phishing) ในรูปแบบไฟล์บีบอัด ที่เมื่อคลายออกมาก็จะมีไฟล์ Internet Shortcut สกุล LNK ซึ่งถ้าเหยื่อกดเปิด ก็จะนำไปสู่การรันโค้ด PowerShell ที่จะพาไปสู่การดาวน์โหลดสคริปท์มัลแวร์นกต่อตัวแรกมาจากคลังดิจิทัล หรือ Repo (Repository) ที่มีชื่อเสียงอย่าง Github ลงมารันบนเครื่อง ซึ่งสคริปท์ตัวนี้มีการแฝงโค้ดเพื่อสร้างความสับสนให้กับระบบตรวจจับ (Obfuscation)

หลังจากนั้นสคริปท์ดังกล่าวก็จะเริ่มทำหน้าที่ในการสร้างความคงทนของมัลแวร์บนระบบ (Persistence), สร้างเอกสารปลอม (Decoy) เพื่อหันเหความสนใจของเหยื่อ และทำการติดต่อการแฮกเกอร์ผ่านทาง Telegram Bot API เพื่อทำการยืนยันว่าได้ทำการฝังตัวเองลงบนเครื่องได้สำเร็จแล้ว จากนั้นตัวมัลแวร์นกต่อก็จะทำการใช้งานซอฟต์แวร์แอนตี้ไวรัสปลอม Defendnot ซึ่งเป็นเครื่องมือที่สร้างขึ้นมาเพื่อวิจัยจุดอ่อนของ Windows Defender มาทำการลงทะเบียนลงบนเครื่องว่าเป็นเครื่องมือแอนตี้ไวรัสตัวใหม่ เพื่อให้ Windows Defender ปิดตัวเอง (Disabled) ลงอย่างอัตโนมัติ

จากนั้นตัวมัลแวร์ก็จะเข้าสู่ช่วงของการสำรวจลาดเลาบนเครื่องของเหยื่อ (Environment Reconnaissance) ซึ่งจะไม่ใช่การสำรวจแบบครั้งเดียวจบ แต่เป็นการทำงานติดตามสถานการณ์บนเครื่องอย่างต่อเนื่อง แล้วจึงทำการปล่อยโมดูล (Module) สำหรับบันทึกภาพหน้าจอลงมาใช้งานเพื่อเก็บข้อมูลพฤติกรรมการใช้งานของเหยื่อ และแอบส่งรูปกลับไป (Exfiltration) ให้กับแฮกเกอร์

ภาพจาก : https://cybersecuritynews.com/new-multi-stage-windows-malware-disables-microsoft-defender/

เมื่อขั้นตอนดังกล่าวเสร็จสิ้นลง ก็จะตามมาด้วยขั้นตอนรุนแรงที่เริ่มจากการล็อคดาวน์เครื่อง (System Lockdown), ปิดเครื่องมือของผู้ดูแล (Administrative Tool), ทำลายกลไกการกู้ระบบ (Recovery), เข้ายึดไฟล์ (File Hijacking) ที่เกี่ยวข้องเพื่อไม่ให้เหยื่อสามารถเปิดใช้งานแอปพลิเคชันของจริงที่จะนำไปสู่การป้องกันการรุกรานได้ แล้วจึงมาถึงขั้นตอนการปล่อยไฟล์มัลแวร์ (Payload) ตัวสุดท้ายซึ่งอาจเป็นมัลแวร์ Amnesia RAT หรือ Hakuna Matata ตามที่กล่าวไว้ข้างต้นก็ได้ เรียกได้ว่าถึงแม้จะเป็นเพียงมัลแวร์ Loader แต่ก็มีความอันตรายอย่างยิ่ง จนทำให้ผู้ที่มีความเสี่ยงอย่างเช่นผู้ใช้งานในกลุ่มธุรกิจจะต้องให้ความระมัดระวังอย่างเข้มงวด

ต้นฉบับ : news.thaiware.com

ที่มา : cybersecuritynews.com

macOS ซึ่งในอดีตนั้นถูกกล่าวขานว่าเป็นระบบปฏิบัติการที่มีความปลอดภัยสูงสุดนั้น ในยุคนี้ก็ยังมีส่วนถูกอยู่ แต่ก็ไม่จริงเสมอไป เนื่องจากมีมัลแวร์จำนวนมากที่มีความสามารถในการหาช่องโหว่เพื่อเล็ดลอด หรือแอบซ่อนตัวจากระบบรักษาความปลอดภัยเหล่านั้นตัวใหม่ ๆ ออกมาอยู่ทุกวัน

จากรายงานโดยเว็บไซต์ Cyber Security News กล่าวถึงการตรวจพบมัลแวร์ประเภทเข้าขโมยข้อมูลจากเครื่องของเหยื่อ หรือ Infostealer ตัวใหม่ “MonetaStealer” ซึ่งมัลแวร์ตัวนี้จะมุ่งเน้นการโจมตีไปยังกลุ่มผู้ใช้งานที่ใช้ระบบปฏิบัติการ macOS โดยเฉพาะ ซึ่งทางทีมวิจัยจาก Iru บริษัทผู้เชี่ยวชาญด้านการพัฒนาเครื่องมือรักษาความปลอดภัยให้กับอุปกรณ์ปลายทาง (Endpoints) นั้นได้ตรวจพบมัลแวร์ดังกล่าวจากไฟล์สำหรับรัน (Binary) ในรูปแบบ Mach-o Binary ต้องสงสัยตัวหนึ่งในช่วงวันที่ 6 มกราคม ที่ผ่านมา ซึ่งไฟล์ดังกล่าวนั้นถึงแม้จะเป็นไฟล์สำหรับ macOS แต่ก็มีการตั้งชื่อลวงจนคล้ายกับไฟล์สำหรับการรันที่ใช้บนระบบปฏิบัติการ Windows (สกุลไฟล์ .Exe) ในชื่อว่า Portfolio_Review.exe

มัลแวร์ดังกล่าวนั้นจะมุ่งเน้นการโจมตีไปยังกลุ่มผู้ใช้งาน macOS ที่ทำงานในอุตสาหกรรมการบริการแบบเฉพาะกิจ (Professional Industry) ที่มักจะได้รับไฟล์ Portfolio จากลูกค้า ทำให้แฮกเกอร์สามารถใช้ช่องทางนี้เพื่อปล่อยมัลแวร์ลงสู่เครื่องได้ ซึ่งตัวมัลแวร์นั้นมีความสามารถในการขโมยข้อมูลที่หลากหลายตั้งแต่ข้อมูลระบบ, รหัสผ่านที่ถูกบันทึกอยู่ในเว็บเบราว์เซอร์, ข้อมูลของกระเป๋าเงินคริปโตเคอร์เรนซี, รหัส Wi-Fi, กุญแจ SSH และเอกสารด้านการเงินต่าง ๆ ซึ่งนอกจากความสามารถดังกล่าวแล้ว ตัวมัลแวร์ยังมีความสามารถในการตรวจสอบว่ากำลังรันอยู่บน macOS อยู่หรือไม่ ด้วยการใช้คำสั่ง

if sys.platform != ‘darwin’

ซึ่งคำสั่งนี้เป็นคำสั่งที่สามารถรันได้บนระบบ macOS เท่านั้น นอกจากนั้นทางทีมวิจัยยังพบอีกว่า ตัวโค้ดนั้นถูกเขียนผ่านเครื่องมือปัญญาประดิษฐ์ (AI หรือ Artificial Intelligence) ที่มีการพัฒนาด้วยวิธีการเรียนรู้ของเครื่อง (ML หรือ Machine Learning) อีกด้วย แต่จากหลายสิ่งที่ตรวจพบทำให้ทีมวิจัยสันนิษฐานว่า ตัวมัลแวร์นั้นอยู่ในช่วงขั้นต้นของการพัฒนาเท่านั้น

ภาพจาก : https://cybersecuritynews.com/monetastealer-malware-powered/

แต่สิ่งที่น่ากลัวไปกว่าการใช้ AI มาพัฒนานั่นคือ หลังจากที่ทีมวิจัยได้ทดสอบมัลแวร์ดังกล่าวผ่านทางเว็บไซต์สำหรับการตรวจสอบไฟล์ไวรัสที่มีประสิทธิภาพสูงอย่าง VirusTotal กลับพบว่าไม่มีเครื่องมือใดสามารถตรวจมัลแวร์ตัวนี้เจอได้เลย (Zero-Detection Rate) และในการตรวจสอบองค์ประกอบต่าง ๆ ของมัลแวร์นั้น ทางทีมวิจัยพบว่า ไฟล์หลักของมัลแวร์ (Payload) นั้นมีชื่อไฟล์ว่า portfolio_app.pyc ซึ่งไฟล์นี้จะแอบซ่อนอยู่ในไฟล์สำหรับการติดตั้ง (Installer) ในรูปแบบ Pyinstaller ที่มีการซ่อนตรรกะ (Logic) ของมัลแวร์ไว้ภายในโครงสร้าง CArchive ที่ถูกบีบอัดอยู่อีกที ทำให้สามารถหลบเลี่ยงการถูกตรวจจับโดยเครื่องสแกนไฟล์แบบคงที่ (Static) ได้อย่างง่ายดาย

โดยหลังจากที่ทีมวิจัยได้ทำการแกะ (Decompiling) ไฟล์มัลแวร์ออกมาแล้ว กลับพบโค้ดกำกับ (Comment) ในภาษารัสเซีย ซึ่งทำให้คาดการณ์ได้ว่ามัลแวร์ตัวนี้อาจถูกพัฒนาโดยกลุ่มแฮกเกอร์ชาวรัสเซีย ทั้งยังไม่พบโค้ดสำหรับตีรวนการถูกตรวจจับ หรือการวิเคราะห์ (Obfuscation) แต่อย่างใด ทำให้สันนิษฐานได้อีกว่า กลุ่มผู้พัฒนาอาจมุ่งเน้นศักยภาพในการทำงาน (Functionality) มากกว่าการแฝงตัว (Stealth) นอกจากนั้นยังพบอีกว่าในระหว่างการรันมัลแวร์ตัวนี้ ตัวมัลแวร์จะมีการแสดงแบนเนอร์ที่เขียนว่า “PROFESSIONAL MACOS STEALER v2.0” ทั้งยังมีการรายงานความคือหน้าของการทำงานของโมดูล (Module) สำหรับการขโมยไฟล์หลากหลายโมดูลอีกด้วย

ทางทีมวิจัยยังได้ทำการเจาะลึกระบบการขโมยไฟล์จากเว็บเบราว์เซอร์ Google Chrome ซึ่งเป็นเป้าหมายสำคัญของมัลแวร์ตัวนี้ซึ่งจะเริ่มจากการทำการคัดลอกฐานข้อมูล (Database) แบบ SQLite ชั่วคราวเพื่อหลีกเลี่ยงการล็อกไฟล์ แล้วจึงทำการรันคำสั่ง

security find-generic-password -w -a “Chrome”

เพื่อดึงกุญแจหลัก (Master Key) ในรูปแบบ Base64 ของ Chrome ออกมาจาก macOS Keychain เพื่อนำมาใช้ในการถอดรหัส (Decryption) รหัสผ่านที่ถูกบันทึกไว้บนเว็บเบราว์เซอร์ แต่ก็ยังมีความเสี่ยงคือ ในการปฏิบัติการนี้จะมีการนำไปสู่การเด้งหน้าจอเพื่อให้ผู้ใช้งานทำการใส่รหัสผ่านเพื่อปลดล็อกกุญแจรหัส (Keychain’s Password) เพื่อที่จะให้ปฏิบัติการนี้สามารถทำงานต่อได้ ซึ่งอาจทำให้ผู้ใช้งานสงสัยระแคะระคายว่ามีอะไรเกิดขึ้นภายในระบบ แต่ถ้าเหยื่อผู้ใช้งานเผลอใส่รหัสผ่านเพื่ออนุมัติไป ก็จะทำให้มัลแวร์สามารถส่งคำขอ (Queries) เพื่อดึงข้อมูลรหัสผ่านสำหรับการล็อกอิน, ไฟล์ Session Cookies และประวัติการเยี่ยมชมเว็บไซต์ ผ่านทางคำสั่ง SQL ซึ่งการค้นหานั้นจะมุ่งเน้นไปยังไฟล์ Cookies ที่มีการตั้งชื่อว่า  “bank,” “crypto,” “exchange,” และ “paypal” เพื่อที่จะได้ไฟล์ในการเข้าใช้งานบริการการเงินต่าง ๆ ของเหยื่อ โดยตัวคำสั่งในการขโมยนั้นจะมีลักษณะ ดังนี้

print(‘[+] Stealing Chrome cookies…’)

try:

    host, name, path, encrypted_value = row

    if any((keyword in host.lower() for keyword in [‘bank’, ‘crypto’,

‘exchange’, ‘paypal’])) and self.stolen_data[‘browser’][‘cookies’].append({‘host’:

host, ‘name’: name, ‘path’: path}):

        pass

    conn.close()

except Exception as e:

    print (f’ X Error: {e}’)

ในส่วนของการขโมยข้อมูลการเข้าเยี่ยมชมเว็บไซต์นั้น จะครอบคลุมตั้งแต่ข้อมูล URL ของเพจ, ชื่อเพจ และความถี่ในการเยี่ยมชม โดยข้อมูลเหล่านี้นั้นจะบ่งบอกถึงความสนใจของเหยื่อ ที่จะเป็นประโยชน์เพื่อการโจมตีในระลอกถัดไป ซึ่งข้อมูลที่ถูกขโมยได้ทั้งหมดนั้นจะถูกส่งไปให้กับบอทของแฮกเกอร์ที่อยู่บนบริการแชท Telegram ที่มีชื่อว่า “b746_mac_collector_bot” พร้อม Bot ID 8384579537