DriveSurge Hub Hackers Use ClickFix Strategy
DriveSurge hub hackers use the ClickFix strategy, galloping fake updates, aimed at releasing malware against Windows and macOS users.
According to a report by SCWorld website, a research team from Silent Push, a cyberdefense specialist, has detected a new campaign from a hacker group called DriveSurge, a group of hackers who are Initial Access Brokers who hack websites to pull victims into fake pages with a traffic distribution system called zTDS. There are two destinations that take them in:
FakeUpdate, a page with a warning for the victim to download (fake) updates of the web browser the victim is using, which ultimately leads to the installation of malware.
ClickFix, which can lead to the installation of malware via PowerShell scripts (for Windows systems) or malware for data theft on ClipBoard (for macOS users).
In addition, the research team has also detected a number of website attacks used by hackers, such as using JavaScript Injection to insert content on websites. More than 80 websites have been attacked by this technique of hackers.
ในยุคที่ภัยคุกคามไซเบอร์พัฒนาอย่างรวดเร็ว การที่กลุ่มแฮกเกอร์ DriveSurge ใช้กลยุทธ์เหมือน ClickFix กับ FakeUpdate เพื่อหลอกล่อผู้ใช้งานถือเป็นเรื่องที่น่ากังวลมาก ผมเองได้ติดตามข่าวนี้และทดลองค้นคว้าข้อมูลเพิ่มเติมเกี่ยวกับการโจมตีผ่านระบบ zTDS และวิธีการยิง JavaScript Injection ซึ่งทำให้เห็นว่าการโจมตีเหล่านี้เน้นเจาะจงผู้ใช้งานทั้ง Windows และ macOS โดยเฉพาะ ClickFix ใช้สคริปต์ PowerShell บน Windows เพื่อดาวน์โหลดและรันมัลแวร์ในระบบได้ง่ายมาก และบน macOS มัลแวร์เน้นขโมยข้อมูลใน Clipboard ซึ่งอาจทำให้ข้อมูลสำคัญ เช่น รหัสผ่าน หรือข้อมูลส่วนตัวรั่วไหลโดยที่ผู้ใช้ไม่รู้ตัว ประสบการณ์การใช้งานจริง ผมแนะนำให้ผู้ใช้งานทุกคนหลีกเลี่ยงการดาวน์โหลดหรืออนุญาตให้ติดตั้งซอฟต์แวร์จากแหล่งที่ไม่ชัดเจน แม้จะเป็นข้อความเตือนอัปเดตที่ดูเหมือนมาจากเบราว์เซอร์หลักก็ตาม นอกจากนี้ควรติดตั้งโปรแกรมป้องกันไวรัสและปรับปรุงระบบปฏิบัติการให้เป็นเวอร์ชันล่าสุดเสมอ เพื่อลดช่องโหว่ที่กลุ่มแฮกเกอร์อาจใช้โจมตี รวมถึงควรระมัดระวังการคลิกลิงก์และไฟล์แนบจากอีเมลหรือเว็บไซต์ที่ไม่น่าเชื่อถือ สุดท้าย เรื่องการแทรกเนื้อหาด้วย JavaScript Injection ในเว็บไซต์ของบริษัทหรือธุรกิจต่างๆ ถือเป็นภัยคุกคามที่องค์กรควรมีมาตรการป้องกันอย่างเข้มงวด เช่น การตรวจสอบโค้ดอย่างสม่ำเสมอและตั้งค่าความปลอดภัยของเว็บเซิร์ฟเวอร์ให้เหมาะสม หากคุณเป็นผู้ใช้งานทั่วไปหรือผู้ดูแลเว็บไซต์ การตระหนักถึงภัยคุกคามเหล่านี้และเรียนรู้วิธีป้องกันจะช่วยลดความเสี่ยงและช่วยให้คุณปลอดภัยในโลกไซเบอร์มากขึ้น
