HP เตือนผู้ใช้งานให้ระวังการแพร่ระบาดของอัปเดตปลอม
HP เตือนผู้ใช้งานให้ระวังการแพร่ระบาดของอัปเดตปลอม ถ้าไม่ระวังอาจติดมัลแวร์ได้
จากรายงานโดยเว็บไซต์ Security Brief Asia ได้มีการอ้างอิงถึงรายงานวิจัยด้านความปลอดภัยไซเบอร์ Threat Insights Report ของทางบริษัท HP ผู้ผลิตเครื่องคอมพิวเตอร์และอุปกรณ์ไอทีชื่อดัง โดยรายงาน�ฉบับนี้เกิดจากการเก็บข้อมูลของอุปกรณ์ปลายทาง (Endpoints) ที่ใช้ผลิตภัณฑ์ด้านความปลอดภัยของบริษัทอย่าง HP Wolf Security ซึ่งจำนวนนับล้านเครื่อง โดยข้อมูลที่เก็บได้นี้มีความน่าสนใจเกี่ยวกับแคมเปญที่แฮกเกอร์มักใช้งานเพื่อปล่อยมัลแวร์ลงเครื่องของลูกค้า ดังนี้
การใช้การข่มขู่ทางกฎหมายแบบหลอก ๆ
จากรายงานนั้นมีการตรวจพบว่าแฮกเกอร์ได้มีการใช้การหลอกลวงเหยื่อว่า ติดต่อมาจากหน่วยงานรัฐซึ่งมักจะเป็นหน่วยงานด้านการบังคับใช้กฎหมาย โดยข่มขู่ว่าถ้าเหยื่อไม่ทำตามก็จะนำไปสู่การฟ้องร้อง ซึ่งแฮกเกอร์จะหลอกให้เหยื่อเข้าเว็บไซต์หน่วยงาน (ปลอม) ที่ถูกสร้างขึ้นมาเพื่อหลอกลวงเหยื่อโดยเฉพาะ โดยหลังจากที่เหยื่อเข้าสู่เว็บไซต์ดังกล่าว ตัวเว็บไซต์จะทำการเลื่อนอัตโนมัติ (Auto-Scrolling) เพื่อค่อย ๆ ล่อเหยื่อไปยังรหัสผ่�านที่คล้ายกับรหัสใช้งานครั้งเดียว (OTP หรือ One-Time Password) เพื่อใช้ในการเปิดไฟล์บีบอัดในรูปแบบ Zip ที่หลอกให้เหยื่อดาวน์โหลดไปก่อนหน้า
หลังจากที่เหยื่อใส่รหัสเพื่อเปิดไฟล์ดังกล่าวออกมา ก็จะนำไปสู่การติดตั้งมัลแวร์ในรูปแบบ Remote Access Trojan หรือ RAT ที่มีชื่อว่า PureRAT ซึ่งเป็นมัลแวร์ประเภทเข้าควบคุมเครื่องจากระยะไกลที่ถูกวางขายอยู่ในตลาดมืดของแฮกเกอร์ ช่วยเปิดทางให้แฮกเกอร์สามารถเข้าควบคุมเครื่องของเหยื่อได้อย่างสมบูรณ์ โดยมัลแวร์ตัวนี้มีความร้ายกาจมาก เพราะ แค่ 4% ของไฟล์ที่เกี่ยวข้องกับมัลแวร์ตัวนี้เท่านั้นที่สามารถถูกตรวจพบได้โดยเครื่องมือต่อต้านมัลแวร์
อัปเดตปลอมของซอฟต์แวร์ Adobe
ส่วนนี้มีความน่าสนใจที่สุดจนกลายเป็นหัวข้อของข่าวนี้ เนื่องจากตัวรายงานได้มีการเปิดเผยว่าแฮกเกอร์ได้มีการใช้งานไฟล์เอกสารแบบ PDF ปลอมที่มีการสอดไส้โค้ดในการพาเหยื่อไปยังเว็บไซต์ปลอมที่อ้างว่าเป็นเว็บไซต์สำหรับการอัปเดตซอฟต์แวร์ Adobe Acrobat ซึ่งเป็นซอฟต์แวร์สำหรับการอ่านไฟล์ PDF ของทาง Adobe
โดยหน้าจอการติดตั้งนั้นจะเหมือนกับตัวอัปเดตของแท้ไม่มีผิดเพี้ยน แต่ถ้าเหยื่อทำตามขั้นตอนก็จะนำไปสู่การดาวน์โหลดซอฟต์แวร์ที่ใช้ในการเข้าถึงเครื่องของผู้อื่นที่มีชื่อว่า ScreenConnect ซึ่งเป็นซอฟต์แวร์ประเภท Remote Desktop สำหรับทีมไอทีในการเข้าแก้ไขเครื่องของผู้ใช้งานตามองค์กร แต่กลับถูกนำมาดัดแปลงเพื่อให้ติดต่อกลับไปยังเซิร์ฟเวอร์ของแฮกเกอร์เปิดทางให้เข้ามาควบคุมเครื่องของเหยื่อแทน จนสามารถนับเป็นมัลแวร์ในรูปแบบ RAT ตัวหนึ่งได้
การโฮสต์มัลแวร์ไว้ผลบริการแชต Discord
สิ่งที่น่าสนใจคือ รายงานยังได้กล่�าวถึงความนิยมของแฮกเกอร์ในการนำเอาบริการแชท Discord มาใช้เป็นโครงสร้างพื้นฐาน (Infrastructure) ในการโฮสต์ไฟล์มัลแวร์ (Payload) กันมากขึ้นเนื่องมาจากความน่าเชื่อถือของตัวแพลตฟอร์ม และความประหยัดที่ไม่ต้องมาสร้างโครงสร้างพื้นฐานเองให้เปลืองค่าใช้จ่าย
ซึ่งหนึ่งในแคมเปญที่มีการใช้ช่องทางนี้อย่างเห็นได้ชัด นั่นคือแคมเปญการปล่อยมัลแวร์ Phantom Stealer ซึ่งเป็นมัลแวร์ประเภทขโมยข้อมูลจากเครื่องของเหยื่อ หรือ Infostealer ตัวหนึ่งที่มีความสามารถในการปิดการใช้งาน Windows 11 Memory Integrity หรือฟีเจอร์รักษาความปลอดภัยในส่วนหน่วยความจำของ Windows 11 ก่อนที่จะฝังตัวลงบนเครื่องของเหยื่อ ซึ่งมัลแวร์ตัวนี้มีความสามารถในการขโมยข้อมูลหลากหลายรูปแบบ เช่น รหัสผ่านต่าง ๆ, ข้อมูลทางการเงิน, ไฟล์ Cookies ของเว็บเบราว์เซอร์ เป็นต้น โดยมัลแวร์ตัวนี้มีการขายอยู่ในตลาดมืดขอ�งเหล่าแฮกเกอร์ ซึ่งมีจุดเด่นคือ มีการอัปเดตความสามารถในการหลบเลี่ยงการถูกตรวจจับโดยเครื่องมือต่อต้านมัลแวร์ตัวใหม่ ๆ อย่างสม่ำเสมอ
การเติบโตของมัลแวร์ประเภทขโมยข้อมูล หรือ Infostealer
รายงานยังพบอีกว่ามัลแวร์ประเภท Infostealer นั้นมีการเติบโตอย่างมากในช่วงไตรมาสที่ 3 ของปี ค.ศ. 2025 (พ.ศ. 2568) ซึ่งจากมัลแวร์ทั้งหมดพบว่ากว่า 57% นั้นเป็นมัลแวร์ประเภทนี้ โดยตัวมัลแวร์นั้นจะมุ่งเน้นไปยังการขโมยรหัสผ่าน, ไฟล์ Cookies, และข้อมูลทางการเงินต่าง ๆ
นอกจากนั้นยังพบสิ่งที่น่าสนใจคือ การเติบโตของมัลแวร์ที่มุ่งเน้นการขโมย Session Cookies เพื่อการเข้าใช้งานบริการและเว็บไซต์ต่าง ๆ โดยที่ไม่ต้องล็อกอิน แทนที่การขโมยรหัสผ่าน หรือรหัสยืนยันตัวตนหลายชั้น (MFA หรือ Multi-Factors Authentication)
การแนบไฟล์มัลแวร์ผ่านทางอีเมลยังคงถูกใช้งานอยู่
ถึงแม้จะเป็นวิธีการแพร่กระจายมัลแวร์ที่เก่าแก่ แต่ก็ยังคงถูกใช้งานอยู่ในปัจจุบันแม้จะน้อยลงไปมาก ซึ่งทาง HP ได้รายงานว่ามัลแวร์ที่ถูกส่งทางอีเมลนั้นมีเพียง 11% ที่ถูกตรวจจับโดยเครื่องมือ Sure Click ว่าสามารถหลุดตัวกลั่นกรองอีเมลเข้ามาได้ ซึ่งไฟล์ที่มักถูกใช้งานเพื่อส่งผ่านอีเมลนั้นมีดังนี้
ไฟล์แบบบีบอัด ยังคงเป็นที่นิยมอย่างมาก โดยในช่องไตรมาสล่าสุดของปีที่ผ่านมานั้นมีมากถึง 45% ซึ่งมากกว่าไตรมาสก่อนถึง 5% นอกจากนั้นยังพบว่าแฮกเกอร์ได้ทำให้วิธีการนี้มีความซับซ้อนมากยิ่งขึ้นด้วยการใช้ไฟล์บีบอัดแบบสกุล .tar และ .z แทนที่จะเป็น .Zip และ .Rar แบบที่คุ้นเคยกัน
ขณะที่ไฟล์แบบ PDF ถึงแม้จะมีการใช้งานที่น้อยกว่า แต่ก็เริ่มเป็นที่นิยมใช้งานกันมากขึ้นกว่าเดิม โดยในช่วงไตรมาสที่ 3 ของปี ค.ศ. 2025 (พ.ศ. 2568) เครื่องมือ HP Wolf Security สามารถตรวจและสกัดจับไฟล์ดังกล่าวได้มากถึง 11% โดยมากกว่าไตรมาสก่อนหน้า 3%
ประสบการณ์ส่วนตัวที่เคยได้ยินจากแวดวงไอที บ่งชี้ว่าแฮกเกอร์มักใช้วิธีสร้างความน่าเชื่อถือเพื่อหลอกล่อให้เหยื่อกดดาวน์โหลดอัปเดตปลอม เช่น การทำหน้าตาอินเทอร์เฟซให้เหมือนกับซอฟต์แวร์จริงๆ หรือใช้วิธีส่งอีเมลแจ้งเตือนแบบเร่งด่วนเพื่อกระตุ้นให้รีบดำเนินการโดยไม่ไตร่ตรอง การโจมตีโดยใช้มัลแวร์ประเภท Remote Access Trojan (RAT) เช่น PureRAT หรือ Phantom Stealer ที่ได้รับการกล่าวถึงในรายงานนี้ ถือว่ามีความอันตรายสูงเพราะเปิดโอกาสให้แฮกเกอร์เข้าควบคุมเครื่องคอมพิวเตอร์เหยื่อได้อย่างเต็มรูปแบบ อีกทั้งการที่แฮกเกอร์เลือกใช้แพลตฟอร์มอย่าง Discord ในการโฮสต์ไฟล์มัลแวร์นี้ เป็นเทรนด์ใหม่ที่น่าสังเกต เพราะ Discord มีความน่าเชื่อถือและมักถูกมองว่าเป็นแหล่งปลอดภัยสำหรับคอมมูนิตี้ต่างๆ ทำให้โปรแกรมกรองและระบบรักษาความปลอดภัยไม่เข้มงวดเท่าที่ควร ส่งผลให้มัลแวร์สามารถหลบเลี่ยงการตรวจจับได้ง่ายขึ้น ผู้ใช้งานทั่วไปจึงควรเพิ่มความระมัดระวังด้วยการตรวจสอบที่มาของอีเมลและเว็บไซต์ให้แน่ชัดก่อนดาวน์โหลดหรือกดติดตั้งซอฟต์แวร์ รวมถึงไม่ควรใช้รหัสผ่านซ้ำกันในหลายบริการ และเปิดใช้งานระบบยืนยันตัวตนแบบหลายชั้น (MFA) เพื่อเพิ่มความปลอดภัย นอกจากนี้ควรติดตั้งและอัปเดตโปรแกรมป้องกันไวรัสเพื่อช่วยตรวจจับมัลแวร์ และหลีกเลี่ยงการเปิดไฟล์แนบจากแหล่งที่ไม่น่าเชื่อถือ แนวโน้มการโจมตีด้วยการขโมย Session Cookies ที่ไม่ต้องพึ่งรหัสผ่านแบบเดิม แสดงให้เห็นว่าวิธีการโจมตีไซเบอร์ก็พัฒนาไปอย่างรวดเร็ว ผู้ใช้งานจึงควรเสริมความรู้ด้านเทคนิคความปลอดภัยและติดตามข่าวสารเพื่อป้องกันตัวเองให้ได้อย่างมีประสิทธิภาพมากขึ้น
