[BAYCOMS] ภัยไซเบอร์รูปแบบใหม่ 'ClickFix' กลลวงสุดแยบยลที่เปลี่ยนเว็บจริงให้เป็นกับดักมัลแวร์ ทีมนักวิจัยด้านความปลอดภัยจาก Elastic Security Labs ได้ออกโรงเตือนถึงภัยคุกคามทางไซเบอร์รูปแบบใหม่ที่เรียกว่าแคมเปญ

สำรวจ
ลงทุน
คำถาม

มีบัญชีอยู่แล้ว?หรือ

•

25 ก.พ. เวลา 12:00 • วิทยาศาสตร์ & เทคโนโลยี

ภัยไซเบอร์รูปแบบใหม่ 'ClickFix' กลลวงสุดแยบยลที่เปลี่ยนเว็บจริงให้เป็นกับดักมัลแวร์

ทีมนักวิจัยด้านความปลอดภัยจาก Elastic Security Labs ได้ออกโรงเตือนถึงภัยคุกคามทางไซเบอร์รูปแบบใหม่ที่เรียกว่าแคมเปญ "ClickFix" ซึ่งมีความซับซ้อนและแนบเนียนเป็นอย่างมาก โดยจุดเด่นของแคมเปญนี้คือการที่แฮกเกอร์ไม่ได้สร้างเว็บไซต์ปลอมขึ้นมาหลอกๆ แต่เลือกที่จะ "แฮกเว็บไซต์ที่ถูกต้องตามกฎหมาย" เพื่อใช้เป็นสะพานเชื่อมในการหลอกลวงผู้ใช้งานให้ติดตั้งมัลแวร์ตัวใหม่ที่ชื่อว่า MIMICRAT (หรือ AstarionRAT)

นักวิจัยได้คาดการณ์ว่าเป้าหมายสูงสุดของการโจมตีครั้งนี้ คือการปูทางไปสู่การปล่อย "แรนซัมแวร์" (มัลแวร์เรียกค่าไถ่) หรือการขโมยข้อมูลสำคัญขององค์กร

กลโกงของ ClickFix ทำงานอย่างไร

ความน่ากลัวของ ClickFix คือการใช้เทคนิคจิตวิทยา (Social Engineering) หลอกให้เหยื่อเป็นคนลงมือเปิดประตูให้มัลแวร์เข้ามาในเครื่องด้วยตัวเอง โดยมีขั้นตอนดังนี้

ยึดเว็บไซต์จริงเป็นฐานที่มั่น แฮกเกอร์จะเจาะระบบเว็บไซต์ที่คนทั่วไปใช้งานตามปกติ (เช่น เว็บไซต์ตรวจสอบข้อมูลบัตรเครดิต bincheck.io) และแอบฝังสคริปต์อันตรายเอาไว้

สร้างสถานการณ์หลอกลวง เมื่อผู้ใช้งานเข้าเยี่ยมชมเว็บไซต์ดังกล่าว สคริปต์จะแสดงหน้าต่างแจ้งเตือนปลอมที่ดูแนบเนียนมาก เช่น ทำหน้าต่างหลอกว่ากำลังตรวจสอบระบบรักษาความปลอดภัยของ Cloudflare

หลอกให้เหยื่อทำตามคำสั่ง ซึ่งหน้าต่างปลอมนั้นจะแนะนำให้ผู้ใช้งานคัดลอกคำสั่งบางอย่าง แล้วนำไปวางในกล่องคำสั่ง Windows Run เพื่อแก้ไขปัญหาการเข้าเว็บ

เปิดประตูรับมัลแวร์ ทันทีที่ผู้ใช้งานรันคำสั่งนั้น ระบบจะแอบดาวน์โหลดชุดคำสั่งขั้นสูง (PowerShell) แบบเงียบๆ ซึ่งคำสั่งนี้มีความฉลาดพอที่จะเข้าไปปิดระบบบันทึกเหตุการณ์และระบบสแกนไวรัสของ Windows (ETW และ AMSI) ก่อนจะทำการติดตั้งมัลแวร์ตัวสุดท้ายลงในหน่วยความจำ

ทำความรู้จัก "MIMICRAT" มัลแวร์สายลับจอมพรางตัว

MIMICRAT เป็นมัลแวร์ประเภทที่เปิดทางให้แฮกเกอร์สามารถควบคุมเครื่องเหยื่อได้จากระยะไกล (Remote Access Trojan - RAT) ซึ่งถูกพัฒนาขึ้นมาใหม่และมีประสิทธิภาพสูงมาก สิ่งที่ทำให้มันอันตรายมีดังนี้

ควบคุมได้เบ็ดเสร็จ มันมาพร้อมกับชุดคำสั่งถึง 22 คำสั่งที่เปิดให้แฮกเกอร์เข้าจัดการไฟล์ ควบคุมโปรเซสการทำงาน หรือแม้แต่ขโมยสิทธิ์การเข้าถึงของผู้ใช้งาน

พรางตัวเก่ง มัลแวร์ตัวนี้สื่อสารกับแฮกเกอร์ผ่านช่องทาง HTTPS โดยพรางข้อมูลให้ดูเหมือนเป็นแค่การส่งข้อมูลสถิติของเว็บไซต์ปกติ (Web Analytics) ทำให้ระบบรักษาความปลอดภัยขององค์กรจับสังเกตได้ยาก

ภัยคุกคามที่ไร้พรมแดน

แคมเปญ ClickFix ไม่ได้พุ่งเป้าไปที่กลุ่มใดกลุ่มหนึ่งโดยเฉพาะ แต่เป็นการโจมตีแบบหว่านแห โดยระบบหลอกลวงนี้ฉลาดถึงขั้นสามารถ ปรับเปลี่ยนภาษาได้อัตโนมัติตามเบราว์เซอร์ของเหยื่อถึง 17 ภาษา ทำให้มีผู้ตกเป็นเหยื่อแล้วทั่วโลก ทั้งในมหาวิทยาลัยในสหรัฐอเมริกา ไปจนถึงกลุ่มผู้ใช้งานในฝั่งเอเชีย นอกจากนี้นักวิจัยยังพบว่ายุทธวิธีนี้มีความเชื่อมโยงกับเครือข่ายแฮกเกอร์กลุ่มอื่นๆ ที่เคยใช้มัลแวร์ในลักษณะคล้ายกัน (เช่น Matanbuchus 3.0) ซึ่งตอกย้ำว่านี่คือขบวนการอาชญากรรมทางไซเบอร์ที่มีการจัดการอย่างเป็นระบบ

วิธีป้องกันตนเองและองค์กรจากภัยคุกคาม ClickFix

เนื่องจากการโจมตีของ ClickFix อาศัย "ความตื่นตระหนก" และ "ความไม่รู้" ของผู้ใช้งานเป็นหลัก มากกว่าการอาศัยช่องโหว่ของระบบปฏิบัติการเพียงอย่างเดียว การป้องกันจึงต้องเริ่มต้นที่ความตระหนักรู้ของผู้ใช้ ควบคู่ไปกับระบบรักษาความปลอดภัยที่รัดกุม

กฎเหล็ก "ห้ามคัดลอกแล้ววาง" จดจำไว้เสมอว่า บริการเว็บโฮสติ้ง, ระบบป้องกันอย่าง Cloudflare, หรือเบราว์เซอร์ จะไม่มีวันสั่งให้ผู้ใช้งานคัดลอกโค้ดหรือคำสั่งใดๆ ไปวางในหน้าต่าง Windows Run (Win+R), Command Prompt หรือ PowerShell เพื่อแก้ไขปัญหาการเข้าเว็บโดยเด็ดขาด

อย่าหลงเชื่อหน้าต่างแจ้งเตือนที่ดูผิดปกติ หากเข้าเว็บไซต์แล้วพบหน้าต่างแจ้งเตือนให้ทำตามขั้นตอนที่ซับซ้อน หรือดูน่าสงสัย ให้รีบปิดหน้าต่าง หรือปิดเบราว์เซอร์นั้นทิ้งทันที

ยกระดับระบบรักษาความปลอดภัย (Endpoint Security) แม้มัลแวร์ตัวนี้จะถูกออกแบบมาให้ข้ามการตรวจจับของแอนตี้ไวรัสทั่วไป (AMSI bypass) องค์กรจึงควรใช้ระบบรักษาความปลอดภัยระดับสูงอย่าง EDR (Endpoint Detection and Response) ที่เน้นตรวจจับจาก "พฤติกรรม" ที่ผิดปกติของโปรแกรม มากกว่าการตรวจจับจากฐานข้อมูลไวรัสเพียงอย่างเดียว

จำกัดสิทธิ์การใช้งาน PowerShell สำหรับผู้ดูแลระบบไอทีขององค์กร ควรตั้งค่านโยบาย (Execution Policy) เพื่อจำกัดการรันสคริปต์ PowerShell สำหรับพนักงานทั่วไปที่ไม่มีความจำเป็นต้องใช้งาน เพื่อตัดไฟแต่ต้นลมหากพนักงานเผลอไปกดรันสคริปต์อันตราย

อัปเดตระบบอยู่เสมอ หมั่นอัปเดตเว็บเบราว์เซอร์ ระบบปฏิบัติการ Windows และโปรแกรมป้องกันไวรัสให้เป็นเวอร์ชันล่าสุด เพื่ออุดช่องโหว่ด้านความปลอดภัย

เมื่อภัยทางไซเบอร์เริ่มแนบเนียนและยืมมือเว็บไซต์ที่น่าเชื่อถือมาหลอกลวง สิ่งที่เราควรต้องมีคือ "สติ" และ "ความเอะใจ" จะสามารถช่วยเป็นเกราะป้องกันด่านแรกที่สำคัญที่สุดในการท่องโลกอินเทอร์เน็ต

Ref : https://thehackernews.com/2026/02/clickfix-campaign-abuses-compromised.html

นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS

Your Trusted Cybersecurity Partner

ติดต่อสอบถามหรือปรึกษาเราได้ที่ :

Bay Computing Public Co., Ltd

Tel: 02-115-9956

Email: info@baycoms.com

Website: www.baycoms.com

#BAYCOMS #YourTrustedCybersecurityPartner #Cybersecurity #ClickFix

โฆษณา

ดาวน์โหลดแอปพลิเคชัน

ภัยไซเบอร์รูปแบบใหม่ 'ClickFix' กลลวงสุดแยบยลที่เปลี่ยนเว็บจริงให้เป็นกับดักมัลแวร์

ดาวน์โหลดแอปพลิเคชัน