เตือนธุรกิจโรงแรม! ระวังแคมเปญ PHALT#BLYX ใช้เทคนิค ClickFix หลอกรันมัลแวร์ DCRat

กลุ่มธุรกิจท่องเที่ยวและโรงแรมกำลังตกเป็นเป้าหมายสำคัญในช่วงฤดูกาลท่องเที่ยว ล่าสุดมีการตรวจพบแคมเปญมัลแวร์ PHALT#BLYX ที่ใช้เทคนิค Social Engineering รูปแบบใหม่ที่เรียกว่า ClickFix เพื่อหลอกให้เหยื่อรัน Code อันตรายผ่านหน้าเว็บจองที่พักปลอม

ภาพจาก Pexel

คนร้ายเริ่มต้นด้วยการส่งอีเมลฟิชชิ่งแอบอ้างเป็น Booking.com แจ้งยกเลิกการจองห้องพักพร้อมระบุยอดเงินที่ต้องชำระสูงกว่า 1,000 ยูโร เพื่อสร้างความตกใจและเร่งรัดให้เหยื่อคลิกลิงก์ เมื่อเหยื่อหลงเชื่อจะถูกนำไปยังเว็บไซต์ปลอมที่มีการจำลองหน้าจอผิดพลาด (Fake BSOD) หรือหน้าต่าง CAPTCHA ปลอม

เทคนิค ClickFix จะจูงใจให้เหยื่อทำการซ่อมแซมระบบ หรือยืนยันตัวตนด้วยการคัดลอกคำสั่ง PowerShell ที่เตรียมไว้บนหน้าเว็บ ไปวางใน Windows Run dialog เพื่อรันคำสั่งโดยตรง วิธีนี้ช่วยให้คนร้ายข้ามขั้นตอนการส่งไฟล์แนบที่มักถูกระบบความปลอดภัยบล็อกได้

ความน่าสนใจของแคมเปญนี้คือการใช้เทคนิค Living-off-the-land (LOTL) โดยเปลี่ยนจากการใช้ไฟล์ .hta แบบเดิม มาเป็นการเรียกใช้งาน MSBuild.exe ซึ่งเป็นเครื่องมือมาตรฐานของ Microsoft สำหรับการ Compile ซอฟต์แวร์

เป้าหมายสุดท้ายคือการติดตั้ง DCRat มัลแวร์ควบคุมเครื่องระยะไกลที่มีความสามารถในการดักจับการพิมพ์ และการส่ง Code ลงในโปรเซสต่าง ๆ นักวิจัยจาก Securonix พบ Debug strings ภาษาซีริลลิกฝังอยู่ในมัลแวร์ ซึ่งชี้เป้าไปที่กลุ่มแฮกเกอร์ที่พูดภาษารัสเซีย

เมื่อการโจมตีเปลี่ยนจากการใช้งานเป็นพฤติกรรมของคน องค์กรควรปรับมาตรการดังนี้

  • เฝ้าระวังการเรียกใช้ MSBuild.exe ที่ผิดปกติ โดยเฉพาะการเชื่อมต่อไปยังเซิร์ฟเวอร์ภายนอกที่ไม่เกี่ยวข้องกับงานพัฒนาซอฟต์แวร์
  • เพิ่มขีดความสามารถในการตรวจสอบความเชื่อมโยงระหว่างเบราว์เซอร์และการรันคำสั่ง PowerShell ในระดับ OS
  • อบรมพนักงานให้ระวังเทคนิค ClickFix โดยเน้นย้ำว่าห้ามคัดลอกคำสั่งจากเบราว์เซอร์มารันในเครื่องโดยเด็ดขาด

ที่มา: https://www.infosecurity-magazine.com/news/phaltblyx-clickfix-malware/

About Veerapon Tangsiripathanawong

Check Also

Meta เตรียมปล่อยโมเดล AI รุ่นใหม่ เพิ่มความสามารถด้าน Coding หวังชน GPT-5.5

Meta เตรียมปล่อยโมเดล AI รุ่นใหม่ที่พัฒนาต่อยอดจาก Muse Spark โดย Alexandr Wang Chief AI Officer ของ Meta เปิดเผยผ่านแพลตฟอร์ม …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …