Securonix เตือนภัยแคมเปญมัลแวร์มุ่งโจมตีภาคธุรกิจบริการ

รายงานฉบับใหม่ที่เผยแพร่โดยบริษัทความมั่นคงปลอดภัยไซเบอร์ Securonix เตือนเกี่ยวกับแคมเปญมัลแวร์ที่กำลังมุ่งเป้าโจมตีภาคธุรกิจบริการ โดยใช้การชักจูงทางจิตวิทยาและเครื่องมือ Windows ที่เชื่อถือได้เพื่อหลบเลี่ยงการตรวจจับและสร้างการเข้าถึงระบบในระยะยาว

แคมเปญ “PHALT#BLYX” ผสานการฟิชชิ่ง ข้อผิดพลาดระบบปลอม และเทคนิค living off the land เพื่อส่งเวอร์ชันดัดแปลงของโทรจันเข้าถึงจากระยะไกล DCRat

ผู้โจมตีพึ่งพากลยุทธ์วิศวกรรมสังคมแบบกดดันสูง แทนที่จะใช้การดาวน์โหลดมัลแวร์แบบดั้งเดิม เพื่อหลอกเหยื่อให้รันโค้ดอันตรายด้วยตัวเอง การโจมตี PHALT#BLYX มักเริ่มต้นด้วยอีเมลฟิชชิ่งที่ปลอมเป็นการแจ้งยกเลิกการจองของ Booking.com ข้อความเหล่านี้มักมีการเรียกเก็บเงินจำนวนสูงเพื่อสร้างความเร่งด่วน และมุ่งเป้าไปยังองค์กรด้านการบริการในช่วงฤดูกาลท่องเที่ยว เมื่อเหยื่อกดลิงก์ จะถูกพาไปยังเว็บไซต์ Booking.com ปลอมคุณภาพสูงที่โฮสต์บนโครงสร้างพื้นฐานที่ผู้โจมตีควบคุม

เมื่อเข้าสู่เว็บไซต์ปลอม เหยื่อจะเห็นข้อความ error ของเบราว์เซอร์ปลอม ตามด้วยการจำลอง Blue Screen of Death และได้รับคำสั่งให้ “แก้ไข” ปัญหาโดยการวางเนื้อหาที่โหลดไว้ล่วงหน้าในคลิปบอร์ดลงในหน้าต่าง Windows Run เทคนิค “ClickFix” นี้สามารถหลบเลี่ยงกลไกควบคุมความมั่นคงปลอดภัยอัตโนมัติหลายประเภทได้ เนื่องจากอาศัยการโต้ตอบของผู้ใช้แทนการทำงานแบบสคริปต์อัตโนมัติ

เมื่อคำสั่งถูกเรียกใช้แล้ว จะเริ่มต้นห่วงโซ่การติดเชื้อหลายขั้นตอนโดยใช้ PowerShell และเครื่องมือ MSBuild.exe ของ Microsoft ซึ่งเป็นเครื่องมือที่ถูกต้องตามกฎหมาย MSBuild ถูกใช้เพื่อคอมไพล์และรันไฟล์โปรเจคที่เป็นอันตราย ทำให้เพย์โหลดสามารถทำงานภายใต้ภาพลักษณ์ของไฟล์ Windows ที่เชื่อถือได้

จากนั้นมัลแวร์จะปิดการทำงานของการป้องกัน Windows Defender ตั้งค่าการคงอยู่ในระบบ และดาวน์โหลดเพย์โหลดสุดท้ายของ DCRat เวอร์ชันที่ถูกติดตั้งรองรับการควบคุมระบบจากระยะไกลเต็มรูปแบบ รวมถึงการบันทึกการกดแป้นพิมพ์ การสั่งรันคำสั่ง และความสามารถในการปล่อยมัลแวร์เพิ่มเติม นักวิจัยของ Securonix ยังพบเทคนิค process hollowing ที่ฉีดโค้ดอันตรายเข้าไปในโปรเซส Windows ที่ถูกต้องเพื่อซ่อนกิจกรรมอีกด้วย

แม้ยังไม่สามารถยืนยันตัวผู้โจมตีได้อย่างแน่ชัด แต่หลักฐานในมัลแวร์ เช่น สตริงดีบั๊กภาษาซีริลลิกและความเชื่อมโยงของโครงสร้างพื้นฐาน บ่งชี้ถึงความเป็นไปได้ที่เกี่ยวข้องกับผู้โจมตีที่ใช้ภาษารัสเซีย

จนถึงตอนนี้ แคมเปญมุ่งเป้าเฉพาะองค์กรด้านการบริการในยุโรป แต่ Securonix เตือนว่ากลยุทธ์ที่ใช้สามารถปรับไปโจมตีอุตสาหกรรมอื่นได้อย่างง่ายดาย

“แม้แคมเปญนี้จะมุ่งเป้าภาคธุรกิจการบริการด้วยกลล่อทางการเงินเฉพาะ แต่เทคนิคพื้นฐานชี้ให้เห็นถึงผู้โจมตีที่สามารถปรับตัวเข้ากับหลากหลายอุตสาหกรรมได้” นักวิจัยสรุป “ในขณะที่กลยุทธ์เหล่านี้พัฒนาอย่างต่อเนื่อง องค์กรจำเป็นต้องก้าวข้ามการตรวจจับแบบอิงไฟล์ และให้ความสำคัญกับความผิดปกติด้านพฤติกรรมและสายกระบวนการของโปรเซส เพื่อระบุและหยุดการโจมตีหลายขั้นตอนเหล่านี้”

ที่มา: https://siliconangle.com/2026/01/05/securonix-warns-phaltblyx-malware-campaign-targeting-hospitality-sector/