ระวังอัปเดต Windows 11 ปลอม โดนมัลแวร์ขโมยข้อมูล
ระวังอัปเดต Windows 11 ปลอม พลาดปุ๊บ โดนมัลแวร์ขโมยข้อมูลทันที
Windows 11 นั้นมักจะมีชื่อเสียงที่ฉาวโฉ่เกี่ยวกับการอัปเดตเสมอ เพราะมักจะมาพร้อมกับบั๊ก (Bug) ใหม่ ๆ แทบจะทุกครั้ง แต่ครั้งนี้กลับไปไกลกว่านั้นเพราะแฮกเกอร์ได้ฉวยโอกาส แพร่มัลแวร์ด้วยการใช้อัปเดตปลอม ของ Windows 11
จากรายงานโดยเว็บไซต์ Techloy ได้กล่าวถึงการตรวจพบแคมเปญแพร่กระจายมั��ลแวร์ที่ไม่ถูกระบุชื่อ แต่จากการทำงาน คาดว่าเป็นมัลแวร์ประเภทขโมยข้อมูลจากเหยื่อ หรือ Infostealer ด้วยการปลอมตัวเป็นอัปเดตของ Windows 11 24H2 ซึ่งแฮกเกอร์นั้นจะสร้างเว็บไซต์ปลอมที่อ้างตัวเองเป็นหน้าสนับสนุนลูกค้า (Support) ของไมโครซอฟท์ โดยหน้าเพจจะบอกให้เหยื่อที่หลงเข้ามาทำการติดตั้งตัวอัปเดตรวม (Culmulative Update) ที่มีให้ดาวน์โหลดภายใต้ชื่อไฟล์ว่า WindowsUpdate 1.0.0.msi ซึ่งตัวไฟล์นั้นมีการปลอมข้อมูลหลายอย่าง เช่น การเปลี่ยนค่า Metadata ให้เหมือนกับไฟล์นี้มาจากทางไมโครซอฟท์จริง ๆ
แต่พอติดตั้ง ก็จะนำไปสู่ห่วงโซ่ (Chain) ของการรันสคริปท์ และเครื่องมือ (Tools) ต่าง ๆ ที่อยู่บน Windows อยู่แล้ว ซึ่งขั้นตอนนี้จะนำไปสู่การวางไฟล์มัลแวร์ลงไปยังโฟลเดอร์ AppData แล้วทำการรันด้วยการใช้งานเครื่องมือรันสคริปท์ที่มีอยู่แล้วใน Windows ชื่อว่า cscript.exe ในขั้นต่อมามัลแวร์จะทำการโหลดสภาพแวดล้อม (Environment) ของ Python ปลอมขึ้นมาเพื่อดึงส่วนเสริมในรูปแบบโมดูล (Module) ซึ่งส่วนเสริมเหล่านี้จะทำหน้าที่ในการขโมยข้อมูลต่อไป โดยเป้าในการขโมยข้อมูลนั้นจะมุ่งหน้าไปยังข้อมูลที่อยู่ภายในเว็บเบราว์เซอร์ และ แพลตฟอร์มรับส่งข้อความ (Messenger) ซึ่งประเภทของข้อมูลนั้นจะครอบคลุมทั้งรหัสผ่าน (Password) ที่ถูกบันทึกไว้บนเบราว์เซอร์, ไฟล์ Authentication Cookies ซึ่งเกี่ยวข้องกับการยืนยันตัวตน และไฟล์ Session ที่เกี่ยวข้องกับการใช้งานบัญชีต่าง ๆ นอกจากนั้นข้อมูลต่าง ๆ ที่มีความเกี่ยวข้องกับการใช้งานแอปพลิเคชันแชท Discord ยังตกเป็นเป้าหมายด้วย
ตัวมัลแวร์เองยังมีการสร้างความคงทนบนระบบ (Persistent) ด้วยการสร้างรีจิสทรี (Registry Entry) ชื่อว่า SecurityHealth แล้วทำการวางไฟล์ทางลัด (Shortcut) ไว้ในโฟลเดอร์ Startup ภายใต้ชื่อ Spotify.lnk เพื่อรับประกันว่ามัลแวร์จะถูกรันขึ้นมาใหม่ทุกครั้งที่มีการรีบูทเครื่องขึ้นมาใหม่
#ติดเทรนด์ #Lemon8ฮาวทู #lemon8ไดอารี่ #windows11 #freedomhack
ในยุคที่เทคโนโลยีเปลี่ยนแปลงอย่างรวดเร็ว การที่ผู้ใช้ Windows 11 ต้องเผชิญกับมัลแวร์ผ่านการอัปเดตปลอมถือเป็นเรื่องน่ากังวลอย่างมาก จากประสบการณ์ส่วนตัวที่ได้พบเห็นข่าวนี้และได้ติดตามความเคลื่อนไหวหลายครั้ง ผมเห็นว่าความระมัดระวังในการดาวน์โหลดซอฟต์แวร์หรือไฟล์อัปเดตนั้นสำคัญมาก ที่ผ่านมาผมเองก็มักจะรอให้ระบบ Windows Update แจ้งเตือนอัปเดตอย่างเป็นทางการก่อนเสมอ รวมถึงตรวจสอบแหล่งที่มาของไฟล์ให้ชัดเจน ถ้าเจอเว็บไซต์ที่อ้างว่าเป็นหน้าสนับสนุนของไมโครซอฟท์ แต่ไม่มี URL ที่ถูกต้อง หรือเว็บไซต์นั้นไม่มีการเข้ารหัส HTTPS ก็จะไม่ดาวน์โหลดเด็ดขาด เพราะแฮกเกอร์ชอบใช้วิธีนี้เพื่อหลอกลวงผู้ใช้งาน ซึ่งมัลแวร์ในรูปแบบนี้จะเน้นไปที่การขโมยข้อมูลสำคัญ เช่น รหัสผ่านที่บันทึกในเว็บเบราว์เซอร์ คุกกี้การยืนยันตัวตน รวมถึงข้อมูลจากแอปแชทยอดนิยมอย่าง Discord ด้วย การที่มัลแวร์ใช้ Python ปลอมในการรันสคริปต์ขโมยข้อมูลแสดงให้เห็นถึงความซับซ้อนและพัฒนาไปเรื่อยๆ ผมขอแนะนำให้ทุกคนติดตั้งโปรแกรมป้องกันมัลแวร์ที่เชื่อถือได้ รวมถึงสังเกตพฤติกรรมของเครื่องคอมพิวเตอร์ เช่น การมีไฟล์หรือโปรแกรมแปลกปลอมในโฟลเดอร์ Startup หรือ AppData และหมั่นทำสำรองข้อมูลสำคัญไว้เสมอ นอกจากนี้ หากเครื่องมีปัญหาหลังจากการอัปเดต คำว่า "Please wait while your Windows files and settings are being restored System Restore is initializing..." ที่ขึ้นบนหน้าจอก็ควรตรวจสอบอย่างละเอียด เพราะอาจเป็นสัญญาณของการที่ระบบพยายามกู้คืนจากมัลแวร์หรือความเสียหายที่เกิดขึ้น ในฐานะผู้ใช้ Windows 11 ควรใส่ใจและตรวจสอบรายละเอียดทุกครั้งก่อนติดตั้งอัปเดตใหม่ๆ เพราะความไม่ระวังอาจนำไปสู่การเสียหายของข้อมูล และอาจขยายความเสียหายไปยังระบบเครือข่ายที่เชื่อมต่ออยู่ได้ในระยะยาว
