มัลแวร์ที่รู้จักกันในชื่อ Latrodectus ได้กลายเป็นมัลแวร์ตัวล่าสุดที่นำเทคนิค Social Engineering ที่ใช้กันอย่างแพร่หลายที่เรียกว่า ClickFix มาใช้เป็นช่องทางในการแพร่กระจาย
Expel ระบุในรายงานที่แชร์กับ The Hacker News ว่า “เทคนิค ClickFix มีความเสี่ยงเป็นพิเศษ เนื่องจากทำให้มัลแวร์สามารถทำงานได้ในหน่วยความจำ แทนที่จะถูกเขียนลงในดิสก์ วิธีนี้ลดโอกาสที่เบราว์เซอร์ หรือเครื่องมือรักษาความปลอดภัยจะสามารถตรวจจับหรือบล็อกมัลแวร์ได้”
Latrodectus เชื่อว่าเป็นมัลแวร์รุ่นสืบทอดจาก IcedID ซึ่งเป็นมัลแวร์ที่ทำหน้าที่เป็นตัวดาวน์โหลดเพย์โหลดอื่น ๆ เช่น แรนซัมแวร์ โดยถูกพบครั้งแรกจาก Proofpoint และ Team Cymru เมื่อเดือนเมษายน 2024
ทั้งนี้ มัลแวร์จากซอฟต์แวร์ที่เป็นอันตรายจำนวนมาก เป็นหนึ่งในเหตุการณ์ที่ถูกจัดการไปในปฏิบัติการอันเป็นส่วนหนึ่งของ Operation Endgame ซึ่งหน่วยงานบังคับใช้กฏหมายสามารถยึด และปิดเซิร์ฟเวอร์ได้ถึง 300 เครื่องทั่วโลก พร้อมกับยกเลิกการใช้งานโดเมนที่เกี่ยวข้องจำนวน 650 โดเมน ซึ่งเกี่ยวข้องกับมัลแวร์ชื่อดังอย่าง Bumblebee, Latrodectus, QakBot, HijackLoader, DanaBot, TrickBot และ WARMCOOKIE ระหว่างวันที่ 19–22 พฤษภาคม 2025
ในการโจมตี Latrodectus ล่าสุดที่ Expel สังเกตพบในเดือนพฤษภาคม 2025 ผู้ใช้ที่ไม่รู้ตัวจะถูกหลอกให้คัดลอก และรันคำสั่ง PowerShell จากเว็บไซต์ที่ติดมัลแวร์ ซึ่งกลายเป็นวิธีที่พบได้บ่อยในการแพร่กระจายมัลแวร์หลากหลายประเภท
Expel ระบุว่า "เมื่อผู้ใช้รันคำสั่งดังกล่าว คำสั่งจะพยายามติดตั้งไฟล์จาก URL ภายนอก โดยใช้ MSIExec และดำเนินการรันไฟล์ในหน่วยความจำ โดยวิธีนี้จะทำให้ผู้โจมตีไม่ต้องเขียนไฟล์ลงในคอมพิวเตอร์ และเสี่ยงต่อการถูกตรวจพบโดยเบราว์เซอร์ หรือโปรแกรมป้องกันไวรัสที่อาจตรวจพบไฟล์นั้นในดิสก์"
MSI installer ดังกล่าว มีแอปพลิเคชันที่ถูกต้องของ NVIDIA ซึ่งถูกใช้ในการโหลด DLL ที่เป็นอันตราย จากนั้นใช้คำสั่ง curl เพื่อดาวน์โหลดเพย์โหลดหลัก
เพื่อป้องกันการโจมตีลักษณะนี้ แนะนำให้ปิดการใช้งานโปรแกรม Windows Run ผ่าน Group Policy Objects (GPO) หรือปิดปุ่มลัด "Windows + R" โดยการแก้ไข Windows Registry
จาก ClickFix ถึง TikTok#
การเปิดเผยดังกล่าวเกิดขึ้นในขณะที่ Trend Micro รายงานรายละเอียดของ แคมเปญ Social Engineering รูปแบบใหม่ที่แทนที่จะพึ่งพาหน้า CAPTCHA ปลอม กลับใช้ TikTok ที่สร้างวิดีโอโดยใช้เครื่องมือปัญญาประดิษฐ์ (AI) เพื่อส่งมัลแวร์ขโมยข้อมูลอย่าง Vidar และ StealC โดยสั่งให้ผู้ใช้รันคำสั่งที่เป็นอันตรายบนระบบเพื่อเปิดใช้งาน Windows, Microsoft Office, CapCut และ Spotify
วิดีโอเหล่านี้ถูกโพสต์จากบัญชี TikTok หลายบัญชี เช่น @gitallowed, @zane.houghton, @allaivo2, @sysglow.wow, @alexfixpc และ @digitaldreams771 ซึ่งขณะนี้บัญชีเหล่านี้ไม่สามารถใช้งานได้อีกต่อไป โดยหนึ่งในวิดีโอที่อ้างว่าให้คำแนะนำเกี่ยวกับ “วิธีเพิ่มประสบการณ์การใช้งาน Spotify แบบทันที” มียอดเข้าชมเกือบ 500,000 ครั้ง มียอดกดถูกใจมากกว่า 20,000 ครั้ง และมีความคิดเห็นมากกว่า 100 รายการ
แคมเปญนี้ถือเป็นการยกระดับความรุนแรงของ ClickFix ขึ้นใหม่ โดยผู้ใช้ที่กำลังค้นหาวิธีเปิดใช้งานแอปที่ละเมิดลิขสิทธิ์จะได้รับคำแนะนำให้เปิดกล่องโต้ตอบ Windows Run ด้วยการกดปุ่ม “Windows + R” เปิด PowerShell และรันคำสั่งที่ไฮไลต์ไว้ในวิดีโอ
Junestherry Dela Cruz นักวิจัยด้านความปลอดภัยระบุว่า "ผู้โจมตีกำลังใช้วิดีโอ TikTok ที่อาจถูกสร้างขึ้นด้วย AI เพื่อหลอกล่อผู้ใช้ให้รันคำสั่ง PowerShell โดยอ้างว่า จะแนะนำให้เปิดใช้งานซอฟต์แวร์ที่ถูกกฎหมาย หรือปลดล็อกคุณสมบัติพิเศษ"
“แคมเปญนี้แสดงให้เห็นว่า ผู้โจมตีพร้อมจะใช้แพลตฟอร์มโซเชียลมีเดียที่กำลังได้รับความนิยมเป็นอาวุธในการแพร่กระจายมัลแวร์”
ที่มา : thehackernews
You must be logged in to post a comment.