แฮกเกอร์ Black Cat ทำการวางยา SEO ปล่อยมัลแวร์
แฮกเกอร์กลุ่ม Black Cat ทำการวางยา SEO ลวงคนค้นหาแอปดังเข้าเว็บปลอมเพื่อปล่อยมัลแวร์
SEO หรือ Search Engine Optimization นั้นเป็นกลยุทธ์การจัดการเว็บไซต์ที่นักการตลาดนิยมใช้เพื่อให้ตัวเว็บไซต์นั้นสามารถติดอันดับต้น ๆ เมื่อค้นหาด้วยชุดคำ (Keywords) ที่ถูกกำหนดไว้ แต่ก็เป็นอีกวิธีหนึ่งที่ทางกลุ่มแฮกเกอร์ชอบนำเอามาใช้ในการแพร่กระจายมัลแวร์เช่นเดียวกัน
จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบแคมเปญการแพร่กระจายมัลแวร์ด้วยวิธีการวางยา SEO (SEO Poisoning) โดยกลุ่มแฮกเกอร์จากจีนชื่อว่า Black Cat ซึ่งทางองค์กรด้านความปลอดภัยไซเบอร์จากจีน National Computer Network Emergency Response Technical Team/Coordination Center of China (CNCERT/CC) และ Beijing Weibu Online (หรือ ThreatBook) ได้ออกมาทำการเปิดเผยแคมเปญดังกล่าวว่า กลุ่มแฮกเกอร์จะใช้วิธี SEO ในการดันเว็บไซต์ที่อ้างตัวว่าเป็นแหล่งดาวน์โหลดแอปพลิเคชันชื่อดัง เช่น Google Chrome, Notepad++, QQ International และ iTools ให้ติดระดับสูง ๆ บน Search Engine ยอดนิยมอย่าง Bing เพื่อหลอกให้เหยื่อนั้นหลงเชื่อเข้าสู่เว็บไซต์ในกลุ่มดังกล่าวโดยมีจุดประสงค์ที่จะให้ดาวน์โหลดแอปพลิเคชันของปลอม และติดตั้งมัลแวร์ลงเครื่อง
ซึ่งหลังจากที่เหยื่อหลงเชื่อเข้าสู่เว็บไซต์ในกลุ่มดังกล่าวเป็นที่เรียบร้อยแล้ว ตัวเว็บไซต์ก็จะใช้เทคนิคต่าง ๆ ในการดึงเหยื่อให้ไปถึงหน้าดาวน์โหลดแอปพลิเคชันปลอม โดยถ้าเหยื่อดาวน์โหลดแอปพลิเคชันดังกล่าว พอติดตั้งเสร็จ ก็จะนำไปสู่การติดตั้งมัลแวร์ประเภทเปิดประตูหลังของระบบ หรือ Backdoor (ทางแหล่งข่าวไม่ได้ระบุชื่อว่าเป็นมัลแวร์ชื่ออะไร) โดยที่เหยื่อไม่รู้ตัว นำไปสู่การสูญเสียข้อมูลสำคัญต่าง ๆ ในท้ายที่สุด
กลุ่มแฮกเกอร์ Black Cat นั้นไม่ได้เริ่มทำแคมเปญดังกล่าวในปีนี้ แต่เริ่มมาตั้งแต่ปี ค.ศ. 2022 (พ.ศ. 2565) ด้วยการใช้งานเทคนิคเดียวกันเพื่อแพร่กระจายมัลแวร์ประเภทเข้าควบคุมเครื่องของเหยื่อจากระยะไกล หรือ RAT (Remote Access Trojan) และในปี ค.ศ. 2023 (พ.ศ. 2566) ทางกลุ่มก็ได้ปล่อยแอปพลิเคชันแฝงมัลแวร์ที่ปลอมตัวเป็นแอปพล�ิเคชันเกี่ยวกับเงินคริปโตเคอร์เรนซีที่มีชื่อว่า AICoin จนสามารถขโมยเงินคริปโตไปได้มากกว่า 160,000 ดอลลาร์สหรัฐ (4,963,200 บาท)
และในแคมเปญล่าสุดนี้เอง ก็เป็นการหลอกลวงเหยื่อให้ดาวน์โหลดแอปพลิเคชันจัดการข้อความ Notepad++ ของปลอม ผ่านทางเว็บไซต์ที่ปลอมตัวจนเหมือนเว็บไซต์ต้นฉบับที่มีชื่อโดเมนว่า "cn-notepadplusplus[.]com" ซึ่งนอกจากโดเมนดังกล่าวแล้ว แฮกเกอร์ยังได้มีการจดโดเมนอื่น ๆ ไว้อีก เช่น "cn-obsidian[.]com," "cn-winscp[.]com," และ "notepadplusplus[.]cn" โดยตัว cn บนโดเมนนั้นเป็นการแสดงความตั้งใจที่ชัดเจนว่า ตั้งใจที่จะมุ่งหน้าเล่นงานกลุ่มผู้ใช้งานชาวจีน หรือ ผู้ใช้ภาษาจีนโดยเฉพาะ โดยปุ่ม Download บนเว็บไซต์เหล่านี้ถ้าเหยื่อกด ตัวเว็บไซต์ก็จะทำการเปลี่ยนเป้าหมายการเยี่ยมชม (Redirect) เหยื่อไปยังเว็บไซต์ปลอมอีกแห่งที��่ปลอมตัวเหมือนคลังดิจิทัล (Repo หรือ Repository) ชื่อดัง Github ซึ่งจะมีชื่อโดเมนคือ "github.zh-cns[.]top" โดยไฟล์ที่เหยื่อดาวน์โหลดไปนั้นจะเป็นไฟล์บีบอัดในสกุล .Zip ที่มีไฟล์ติดตั้งปลอมอยู่ ซึ่งหลังติดตั้งเสร็จก็จะมีการสร้างทางลัด (Shortcut) บนหน้าจอเดสก์ท็อป โดยไฟล์นี้จะทำหน้าที่ในการดาวน์โหลดไฟล์มัลแวร์ (Payload) ในรูปแบบไฟล์ DLL ลงมาฝังตัวบนเครื่อง
มัลแวร์หลังจากฝังตัวเองลงบนเครื่องแล้ว ก็จะทำการติดต่อการเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ที่มีชื่อโดเมนคือ "sbido[.]com:2869" โดยโดเมนดังกล่าวนั้นจะถูกฝังเป็นค่าคงที่บนโค้ดของมัลแวร์ (Hardcoded) ซึ่งตัวมัลแวร์ที่มีความสามารถที่หลากหลายในการขโมยข้อมูล ไม่ว่าจะเป็นข้อมูลบน Clipboard, เว็บเบราว์เซอร์, การพิมพ์ของคีย์บอร์ด, และข้อมูลสำคัญต่าง ๆ บนเครื่องนั้น หลังขโมยข้อมูลได้มัลแวร์ก็จะทำการส่งข้อมูลไปยังเซิร์ฟเวอร์แห่งนี้
โดยจากการประเมินของทางองค์กรด้านความปลอดภัยไซเบอร์นั้น พบว่าในประเทศจีนมีผู้ตกเป็นเหยื่อของแฮกเกอร์กลุ่มดังกล่าวไปแล้วมากกว่า 277,800 ราย เพียงแค่ในช่วงเวลาไม่กี่วันระหว่างวันที่ 7 - 20 ธันวาคม ค.ศ. 2025 (พ.ศ. 2568) ซึ่งจำนวนเหยื่อต่อวันนั้นเคยพุ่งสูงสุดถึง 62,167 รายภายในวันเดียวเลยทีเดียว ดังนั้น ผู้ใช้งานจำเป็นจะต้องให้ความระมัดระวังตัวเป็นอย่างมากในการค้นหาซอฟต์แวร์ที่ต้องการ และต้องหมั่นสังเกตชื่อเว็บไซต์อย่างสม่ำเสมอไม่ให้เข้าเว็บไซต์ผิด เพื่อความปลอดภัยในการใช้งาน
การระบาดของมัลแวร์โดยกลุ่มแฮกเกอร์ Black Cat ผ่านการวางยา SEO หรือที่เรียกว่า SEO Poisoning เป็นตัวอย่างที่ชัดเจนของภัยไซเบอร์ยุคใหม่ที่อาศัยกลยุทธ์ทางการตลาดออนไลน์มาสร้างความเสียหาย แทนที่จะแค่เน้นให้เว็บที่ปลอมแปลงขึ้นมาติดอันดับบนหน้าแรกของ Search Engine เหมือนกับ SEO ปกติ กลับใช้วิธีจูงใจผู้ใช้ให้ดาวน์โหลดไฟล์แอปพลิเคชันปลอมที่แฝงมัลแวร์ซึ่งอาจทำให้เครื่องคอมพิวเตอร์ติดไวรัสโดยไม่รู้ตัว จากประสบการณ์การใช้งานอินเทอร์เน็ตในชีวิตประจำวัน ผมพบว่า SEO เป็นหนึ่งในเครื่องมือที่นิยมกันอย่างมากในการค้นหาข้อมูลหรือดาวน์โหลดโปรแกรม แต่ภัยจาก SEO Poisoning ก็เป็นเรื่องที่เราไม่สามารถมองข้ามได้ เพราะเว็บปลอมมีการออกแบบหน้าเว็บไซต์และโดเมนให้เหมือนของจริงมาก เช่น กรณีของ Notepad++ ซึ่งโดยปกติเป็นโปรแกรมแก้ไขข้อความที่ได้รับความนิยมอย่างสูง มีฟีเจอร์รองรับหลายภาษาและดีไซน์ที่ใช้งานง่าย แต่หากดาวน์โหลดจากเว็บปลอม เช่น cn-notepadplusplus.com หรือโดเมนอื่น ๆ ที่แฮกเกอร์จดทะเบียนไว้ อาจทำให้เราติดตั้งมัลแวร์โดยไม่รู้ตัว สิ่งที่ผมแนะนำสำหรับผู้ใช้งานทั่วไปคือการตรวจสอบโดเมนเว็บไซต์อย่างละเอียดก่อนดาวน์โหลด โดยเฉพาะอย่างยิ่งโปรแกรมที่สำคัญและที่ใช้งานบ่อย นอกจากนี้ การอัปเดตโปรแกรมระบบปฏิบัติการและซอฟต์แวร์แอนตี้ไวรัสอย่างสม่ำเสมอจะช่วยเพิ่มเกราะป้องกันจากการโจมตีของมัลแวร์ที่มีความซับซ้อนมากขึ้นเรื่อย ๆ ส่วนมัลแวร์ที่ปล่อยโดย Black Cat นั้น มีคุณสมบัติที่น่ากังวลมาก เพราะมันไม่ได้แค่ทำหน้าที่ขโมยข้อมูลบน clipboard หรือข้อมูลเบราว์เซอร์เท่านั้น แต่ยังสามารถบันทึกการพิมพ์ของเรา (keylogging) รวมถึงส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ Command and Control (C2) ของแฮกเกอร์ ซึ่งส่งผลให้ข้อมูลส่วนตัว ข้อมูลสำคัญทางธุรกิจ หรือแม้กระทั่งรหัสผ่านทางการเงินอาจถูกขโมยไปได้อย่างง่ายดาย ในทางเทคนิค วิธีการวางยา SEO เช่นนี้สะท้อนให้เห็นว่าการรักษาความปลอดภัยด้านข้อมูลไม่ใช่เรื่องของผู้เชี่ยวชาญเพียงอย่างเดียวเท่านั้น ผู้ใช้งานเองก็มีบทบาทสำคัญที่ต้องตระหนักและระมัดระวังมากขึ้น เช่น การไม่ดาวน์โหลดไฟล์จากเว็บไซต์ที่ไม่น่าเชื่อถือ หรือไม่กดปุ่มดาวน์โหลดที่น่าสงสัย รวมทั้งการใช้เครื่องมือช่วยตรวจสอบและรับรองความปลอดภัยของเว็บไซต์ก่อนทุกครั้ง ท้ายที่สุด เรื่องนี้ย้ำเตือนให้เราเห็นว่าแม้แต่กลยุทธ์ที่ดีอย่าง SEO ก็สามารถถูกดัดแปลงใช้ในทางที่ผิดและอันตรายได้ ดังนั้นไม่ว่าใครจะเป็นผู้ใช้อินเทอร์เน็ต การมีความรู้และความระมัดระวังด้านความปลอดภัยไซเบอร์เป็นสิ่งจำเป็นมากในยุคดิจิทัลนี้
