พบวิธีปล่อย Payload แบบใหม่

พบวิธีปล่อย Payload แบบใหม่ "ClickFix" แฝงตัวอยู่ในแคชของเว็บเบราว์เซอร์

ClickFix อาจจะเป็นชื่อที่คุ้นเคยกันดีในเวลานี้ เพราะเป็นชื่อของการใช้งานหน้าจอแสดงความผิดพลาด หรือ Error ปลอมเพื่อหลอกให้เหยื่อติดตั้งมัลแวร์ แต่ชื่อนี้ก็ดังมากจนถูกนำเอามาใช้เป็นชื่อวิธีการปล่อยไฟล์มัลแวร์ หรือ Payload แบบใหม่ ที่อาจมีบางอย่างคล้ายคลึงกับ ClickFix ที่หลายคนคุ้นเคยแต่ก็ไม่ใช่เสียทีเดียว

จากรายงานโดยเว็บไซต์ Cyber Press ได้กล่าวถึงการตรวจพบเครื่องมือสำหรับการหย่อน Payload ตัวใหม่ที่มีชื่อว่า ClickFix โดยทีมวิจัยอิสระจาก Dark Web Informer ได้กล่าวว่า วิธีการแบบใหม่นี้จะต่างไปจากการใช้งานการหลอกลวงแบบ ClickFix ในรูปแบบเดิม ๆ นั่นคือ ถึงแม้จะเป็นการแสดงข้อผิดพลาดแบบหลอกลวงเช่นเดียวกัน แต่ก็จะเป็นแค่ให้ผู้ใช้งานทำการคลิ๊กแค่เพียงคลิ๊กเดียว ก็จะเป็นการปล่อย Payload ลงมาจากส่วนแคช (Caches) ของตัวเว็บเบราว์เซอร์เพื่อติดตั้งมัลแวร์ลงบนเครื่องในทันที ซึ่งวิธีการดังกล่าวนี้ทางแฮกเกอร์ที่วางจำหน่ายเครื่องมือดังกล่าวผ่านทางเว็บบอร์ดใต้ดินได้โอ้อวดไว้ว่า จะทำให้เครื่องมือรักษาความปลอดภัยระดับ EDR (Endpoint Detection and Response) ไม่สามารถตรวจจับได้เลยทีเดียว เนื่องจากตัวเครื่องมือจะมองว่าเป็นเพียงซากไฟล์ที่หลงเหลืออยู่ ไม่มีอะไรผิดปกติ

โดยในการใช้งานนั้น แฮกเกอร์จะทำการส่งลิงก์หลอกลวงให้กับเหยื่อ โดยหลอกลวงว่าเว็บเบราว์เซอร์ต้องมีการอัปเดตโดยด่วน ซึ่งถ้าเหยื่อกดลิงก์ ก็จะมีหน้าจอลอย (Pop Up) ปรากฏขึ้นมา หรืออาจจะเห็นทางลัด (Short Cut) เขียนว่า “Click to Fix Cache Error” เพื่อหลอกว่าตัวแคชของเว็บเบราว์เซอร์มีปัญหา ต้องกดเพื่อแก้ไข หลังจากที่กดสิ่งที่ปรากฏมาดังกล่าว สคริปท์ก็จะเริ่มทำงานในฉากหลังเพื่อค่อย ๆ ดาวน์โหลดตัว Payload ที่มีความใหญ่ของไฟล์เพียงไม่กี่กิโลไบต์ (KB) ลงมาจากเว็บไซต์ที่แฮกเกอร์กำหนดไว้ ทำให้ไม่สามารถถูกตรวจจับจากระบบป้องกันได้ลงมาไว้ในส่วนของโฟลเดอร์แคชของเว็บเบราว์เซอร์ เช่น ของ Chome ก็จะเป็นโฟลเดอร์ Data/Default/Cache เป็นต้น แล้วก็จะทำการเปลี่ยนชื่อไฟล์ให้เป็นเหมือนไฟล์ชั่วคราวเพื่อหลอกลวงเหยื่อ อย่างเช่น “cache_001.dat” เป็นต้น

หลังจากนั้นเพื่อการรันมัลแวร์โดยที่ไม่ต้องอาศัยการเขียนไฟล์หรือวางไฟล์ลงไปยังโฟลเดอร์ของระบบ (System) ตัวมัลแวร์ก็จะใช้งานคำสั่งที่เนียนไปกับตัวไฟล์ exe ของ File Explorer ด้วยการใช้คำสั่ง “explorer.exe /root,CacheFolder:RunPayload” ทำให้สามารถเนียนไปกับการทำงานของ Process ของ File Explorer ได้ตามปกติไม่มีอะไรผิดเพี้ยน ทำให้ไม่สามารถถูกตรวจจับด้วยเครื่องมือตรวจจับพฤติกรรมมัลแวร์ของ CrowdStrike หรือ Microsoft Defender ได้ โดยหลังจากที่มัลแวร์สามารถฝังตัวบนเครื่องได้สำเร็จ ตัวมัลแวร์ก็จะสามารถปฏิบัติการได้อย่างหลากหลายอย่างเช่น การขโมยข้อมูล, การเปิดประตูหลังของระบบ (Backdoor) หรือแม้แต่การฝังมัลแวร์เพื่อการเรียกค่าไถ่ (Ransomware) ก็สามารถทำได้เช่นเดียวกัน

มัลแวร์ตัวนี้ถูกขายอยู่บนเว็บบอร์ดใต้ดิน กับราคาเริ่มต้นที่ 300 ดอลลาร์สหรัฐ (9,486.75 บาท) ซึ่งผู้ซื้อจะได้รับแพ็คเกจที่ประกอบด้วย โค้ดต้นฉบับ (Source Code) ในรูปแบบ JavaScript และ PowerShell, เครื่องมือสร้าง (Builder) แบบ GUI, คู่มือการใช้งาน, และ เทมเพลตสำหรับการหลอกลวงแบบพร้อมใช้งาน ถ้าผู้ซื้อจ่ายเงินเพิ่มอีก 200 ดอลลาร์สหรัฐ (6,324.20 บาท) ผู้ซื้อก็สามารถดัดแปลงเพจหน้าสำหรับหลอกลวงเหยื่อแบบ Phishing ลอกเลียนแบบบริษัทต่าง ๆ ได้ โดยทางผู้ขายจะส่งเพจสำหรับการทำงานให้ผ่านทางลิงก์เข้ารหัส (Encrypted) นอกนั้นยังจะได้รับการอัปเดตแบบตลอดชีพ (Lifetime Update) อีกด้วย

#ติดเทรนด์ #Lemon8ฮาวทู #ป้ายยากับlemon8 #lemon8ไดอารี่ #freedomhack

3/14 แก้ไขเป็น

... อ่านเพิ่มเติมในประสบการณ์ตรงกับการดูแลระบบคอมพิวเตอร์ ผมพบว่าการหลอกลวงผ่านเว็บเบราว์เซอร์และแคชเป็นภัยที่หลายคนมองข้าม โดยเฉพาะวิธีการปล่อย Payload แบบใหม่อย่าง ClickFix ที่แฮกเกอร์ใช้เทคนิคซ่อนตัวในโฟลเดอร์แคช ทำให้เครื่องมือรักษาความปลอดภัยหลายตัวไม่สามารถตรวจจับได้ ส่วนตัวผมเห็นว่า สิ่งหนึ่งที่เราควรทำคือ การให้ความรู้และระมัดระวังเมื่อได้รับลิงก์ที่ให้ดาวน์โหลดหรือติดตั้งโปรแกรมเสริม รวมทั้งการสังเกต Pop Up ที่ปรากฏบนเว็บ ถ้ามันมีข้อความเช่น “Click to Fix Cache Error” หรือแจ้งเตือนให้อัปเดตเบราว์เซอร์ทันทีโดยไม่มีที่มาชัดเจน ควรหยุดและตรวจสอบก่อนทำการคลิกหรือติดตั้ง ผู้ใช้งานทั่วไปและองค์กรควรอัปเดตเบราว์เซอร์และโปรแกรมความปลอดภัยอย่างสม่ำเสมอ พร้อมทั้งใช้วิธีจัดการสิทธิ์การเข้าถึง เพื่อจำกัดสคริปต์หรือไฟล์แปลกปลอมไม่ให้รันในระบบ รวมถึงมีการตรวจสอบแคชและไฟล์ชั่วคราวในเบราว์เซอร์บ่อยๆ เพื่อช่วยลดความเสี่ยงจากการฝังมัลแวร์ในบริเวณนี้ จากที่เห็นในตลาดใต้ดิน การจำหน่ายเครื่องมือ ClickFix ที่มาพร้อมซอร์สโค้ดและเทมเพลตการหลอกลวง ยังเป็นเรื่องที่น่ากลัวและท้าทายสำหรับนักรักษาความปลอดภัยคอมพิวเตอร์อีกด้วย การเรียนรู้และทำความเข้าใจเทคนิคใหม่เหล่านี้จึงเป็นสิ่งจำเป็น เพื่อให้สามารถปกป้องตนเองและองค์กรจากภัยคุกคามไซเบอร์ได้อย่างมีประสิทธิภาพในยุคปัจจุบัน

โพสต์ที่เกี่ยวข้อง

20 วิธีอ้อนระดับสากลที่มีผลรับรองทางจิตวิทยา
1. กอดจากข้างหลัง (The Back Hug): การจู่โจมแบบทีเผลอโดยการเข้าไปโอบกอดจากด้านหลัง กระตุ้นความรู้สึกอบอุ่นและปลอดภัยทางจิตวิทยาขั้นสุด 2. มองช้อนสายตาขึ้น 3 วินาที: ก้มหน้าลงเล็กน้อยแล้วช้อนสายตามองเขา สัญชาตญาณมนุษย์จะมองว่านี่คือท่าทางที่ไร้พิษสง น่าเอ็นดู และน่าทะนุถนอม 3. มุดนั
Mamuinobie

Mamuinobie

ถูกใจ 796 ครั้ง

อย่าปล่อยให้โพสต์ 10 ปีที่แล้วทำพิษ!
สอนวิธีตั้งค่าความเป็นส่วนตัวแบบยกแผง ปลอดภัยชัวร์ #ซ่อนโพสต์facebook #ซ่อนโพส #รอบรู้ไอที #ป้ายยากับlemon8 #ครูหนึ่งสอนดี
ครูหนึ่งสอนดี

ครูหนึ่งสอนดี

ถูกใจ 156 ครั้ง

ภาพแสดงหน้าจอปลอมสำหรับยืนยันตัวตน (KYC) ของแอปพลิเคชันธนาคาร โดยมัลแวร์ KYCShadow ใช้หลอกขโมยข้อมูลสำคัญ เช่น หมายเลขโทรศัพท์มือถือ, รหัส ATM PIN, หมายเลข Aadhaar และวันเกิด เพื่อดูดเงินจากเหยื่อ
พบมัลแวร์ดูดเงินตัวใหม่ ใช้หน้าจอ KYC ปลอม
พบมัลแวร์ดูดเงินตัวใหม่ ใช้หน้าจอ KYC ปลอม หลอกขโมยข้อมูลยืนยันตัวตนเหยื่อ การทำ KYC หรือ Know-Your-Customer นั้นเรียกได้ว่าเป็นขั้นตอนที่จำเป็นในการใช้งานบริการต่าง ๆ ส่วนหนึ่งก็เพื่อการกลั่นกรองผู้ใช้งานให้เป็นไปตามกฎหมาย อีกส่วนก็เพื่ออำนวยความสะดวกในการกู้บัญชีคืน และด้วยความจำเป็นนี้เอง ก็ไ
FreedomHack 󱢏

FreedomHack 󱢏

ถูกใจ 2 ครั้ง

ภาพหน้าจอแสดงแอปพลิเคชันปลอมชื่อ "PDF Reader for Business Docs" บน Google Play Store ที่มีมัลแวร์ Anatsa โดยระบุ URL และชื่อแพ็กเกจ พร้อมข้อมูลว่ามีผู้ดาวน์โหลดมากกว่า 10,000 ครั้งก่อนจะถูกถอดออกจากสโตร์
ตรวจพบแอปอ่านเอกสาร (ปลอม) หลอกปล่อยมัลแวร์
ตรวจพบแอปอ่านเอกสาร (ปลอม) หลอกปล่อยมัลแวร์ Anatsa กลาง Play Store อย่างอุกอาจ แอปสโตร์อย่างเป็นทางการของผู้ใช้งานระบบปฏิบัติการ Android อย่าง Google Play Store นั้น จะมีการอวดอ้างถึงความละเอียดลออในการกลั่นกรองแอปพลิเคชันที่จะถูกปล่อยให้ดาวน์โหลดหรือจัดจำหน่ายบนแพลตฟอร์มก็ตาม แต่หลายครั้งแอปพลิ
FreedomHack 󱢏

FreedomHack 󱢏

ถูกใจ 1 ครั้ง

“อารมณ์อ่อนไหว” ของคุณเป็นแบบไหน 🌊
#เช็คดวงกับlemon8 #quiz #ควิซ #รีวิวนิสัย #Pickacard 🐣 1: “ลูกเจี๊ยบหัวใจฟูง่าย และฟื้นตัวไว” — The Fool - คุณมีความอ่อนไหวแบบน่ารัก สดใส เหมือนลูกเจี๊ยบเพิ่งออกจากไข่ - รู้สึกเร็ว ซึ้งง่าย แต่ไม่จมอยู่นาน เพราะคุณมีพลังแห่งการเริ่มต้นใหม่เสมอ - ความเศร้าเป็นแค่สายลมผ่านใจ คุณรู้จัก
pattrasa

pattrasa

ถูกใจ 204 ครั้ง

เทคนิคใหม่ของมัลแวร์บน GitHub ใช้การหั่น Payload
พบเทคนิคใหม่ของมัลแวร์บน GitHub ใช้การหั่น Payload เป็นหลายส่วนเพื่อเลี่ยงการถูกตรวจจับ การปล่อยไฟล์มัลแวร์ หรือ Payload ลงสู่เครื่องของเหยื่อนั้นเรียกได้ว่ามีหลากรูปแบบวิธี ตั้งแต่การดาวน์โหลดลงมาตรง ๆ, การซ่อนโค้ดในรูปภาพ และในครั้งนี้ก็เป็นเทคนิคใหม่อีกอย่างหนึ่งที่มีความน่าสนใจยิ่ง จากราย
FreedomHack 󱢏

FreedomHack 󱢏

ถูกใจ 2 ครั้ง

พบแพกเกจ npm สี่ตัว มีการซุกมัลแวร์ขโมยข้อมูล
พบแพกเกจ npm สี่ตัว มีการซุกมัลแวร์ขโมยข้อมูล และ Phantom Bot ไว้ จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบมัลแวร์ประเภทขโมยข้อมูลจากเครื่องของเหยื่อ หรือ Infostealer และมัลแวร์ประเภทแปลงเครื่องของเหยื่อให้เป็นหนึ่งในเครือข่ายการโจมตีระบบที่ใหญ่กว่า หรือ Botnet แฝงตัวอยู่ในแพ็คเ
FreedomHack 󱢏

FreedomHack 󱢏

ถูกใจ 1 ครั้ง

เว็บไซต์ทางการ EmEditor Editorเป็นฐานปล่อยมัลแวร์
เว็บไซต์อย่างเป็นทางการของ EmEditor Editor ถูกแฮกเพื่อใช้เป็นฐานปล่อยมัลแวร์ การปล่อยมัลแวร์ใส่เหยื่อนั้นหลายครั้งมักจะเป็นการใช้วิธีการหลอกลวงแบบ Phishing เพื่อให้ดาวน์โหลดจากเว็บไซต์ปลอม แต่ในบางครั้งเว็บไซต์จริงก็อาจถูกแฮกเพื่อนำมาใช้ในการปล่อยมัลแวร์ได้เช่นกัน จากรายงานโดยเว็บไซต์ Cyber S
FreedomHack 󱢏

FreedomHack 󱢏

ถูกใจ 1 ครั้ง

ภาพพื้นหลังสีน้ำเงินเข้ม มีข้อความสีขาวขนาดใหญ่ว่า “วิธีปรับ ฮอร์โมน ด้วยตัวเอง” พร้อมโลโก้ Lemon8 และชื่อผู้ใช้ @giant4361 ที่มุมล่างซ้าย และแฮชแท็ก #Giant ที่มุมล่างขวา ขอบบนและล่างของภาพเป็นรอยฉีกขาดคล้ายกระดาษ
วิธีปรับฮอร์โมนด้วยตัวเองแบบง่ายง่าย
ทำไม “ฮอร์โมน” จึงสำคัญกับผู้หญิง ฮอร์โมนคือสารที่ควบคุมทุกระบบในร่างกาย ตั้งแต่อารมณ์ พลังงาน ไปจนถึงผิวพรรณและรอบเดือน เมื่อฮอร์โมนไม่สมดุล เรามักรู้สึก “เหนื่อยง่าย อารมณ์แปรปรวน ผิวพรรณโทรม และน้ำหนักขึ้นโดยไม่รู้ตัว” 💬: ข่าวดีคือ… คุณสามารถ “ปรับฮอร์โมนด้วยตัวเอง” ได้แบบปลอดภัย โดยไม่ต้
Supawan S

Supawan S

ถูกใจ 269 ครั้ง

ดูเพิ่มเติม