นักวิจัยด้านความปลอดภัยไซเบอร์ได้ค้นพบเทคนิค Social Engineering ที่ชื่อว่า ClickFix ซึ่งได้รับความนิยมอย่างรวดเร็วในหมู่ผู้โจมตีตั้งแต่ต้นปี 2024
การโจมตีนี้มีเป้าหมายทั้งอุปกรณ์ Windows และ macOS โดยหลอกให้ผู้ใช้รันคำสั่งที่เป็นอันตรายผ่านขั้นตอนการแก้ไขปัญหาทางเทคนิคที่ดูเหมือนถูกต้องตามปกติ
เทคนิคนี้ถูกพบว่าใช้ในแคมเปญที่ส่งผลกระทบต่ออุปกรณ์ทั้งในองค์กร และผู้บริโภคจำนวนหลายพันเครื่องทั่วโลกในแต่ละวัน แสดงให้เห็นถึงพัฒนาการสำคัญของกลยุทธ์ Social Engineering
ClickFix ทำงานโดยแสดงข้อความแจ้งข้อผิดพลาดปลอม CAPTCHA ปลอม หรือการตรวจสอบในรูปแบบ human verification ที่ทำให้ผู้ใช้เข้าใจว่าจำเป็นต้องดำเนินการทันทีเพื่อแก้ไขปัญหาทางเทคนิคเล็กน้อย
โดยทั่วไปเหยื่อมักถูกหลอกให้หลงเชื่อผ่านอีเมลฟิชชิ่ง, โฆษณาอันตราย หรือเว็บไซต์ที่ถูกเจาะระบบ ซึ่งจะเปลี่ยนเส้นทางผู้ใช้ไปยัง Landing Page ที่ถูกสร้างขึ้นมาเพื่อการโจมตีโดยเฉพาะ
ประสิทธิภาพของการโจมตีนี้อยู่ที่การอาศัยพฤติกรรมตามธรรมชาติของผู้ใช้ที่ต้องการแก้ไขปัญหาทางเทคนิคทันที ทำให้เทคนิคนี้มีความอันตรายเป็นพิเศษ เนื่องจากสามารถ bypass ระบบรักษาความปลอดภัยอัตโนมัติแบบเดิม ๆ ไปได้ด้วยการมีส่วนร่วมของมนุษย์โดยตรง
นักวิเคราะห์ของ Microsoft พบว่า มีผู้โจมตีหลายกลุ่มใช้การโจมตีแบบ ClickFix เพื่อส่งเพย์โหลดที่เป็นอันตรายหลากหลายรูปแบบ เช่น Lumma Stealer ซึ่งเป็น infostealer สำหรับขโมยข้อมูล, เครื่องมือการเข้าถึงระยะไกลอย่าง Xworm และ AsyncRAT, Loader เช่น Latrodectus และ MintsLoader ตลอดจน rootkit ขั้นสูง ที่ถูกดัดแปลงมาจาก open-source r77
Payload เหล่านี้มักทำงานในลักษณะ “fileless” malware โดยโหลดเข้าสู่หน่วยความจำโดยตรงผ่าน living-off-the-land binaries แทนที่จะถูกเขียนลงดิสก์ในรูปแบบไฟล์ปกติ
ลำดับขั้นตอนการโจมตีเริ่มขึ้นเมื่อเหยื่อพบเจอกับสิ่งที่เลียนแบบบริการที่เชื่อถือได้ เช่น ระบบยืนยันตัวตน Cloudflare Turnstile, Google reCAPTCHA หรือแม้กระทั่งแพลตฟอร์มโซเชียลอย่าง Discord
เมื่อผู้ใช้โต้ตอบกับระบบยืนยันตัวตนปลอมเหล่านี้ โค้ด JavaScript ที่เป็นอันตราย จะถูกรันอยู่เบื้องหลัง โดยจะคัดลอกคำสั่งที่ซ่อนไว้ลงในคลิปบอร์ดของผู้ใช้ผ่านฟังก์ชัน navigator.clipboard.writeText()
การใช้งานทางเทคนิค และการรันคำสั่ง
แกนหลักของเทคนิค ClickFix คือการหลอกให้ผู้ใช้ใช้งาน Windows Run dialog box ซึ่งสามารถเปิดได้ด้วยปุ่มลัด Windows + R
ผู้โจมตีเลือกใช้วิธีนี้อย่างมีกลยุทธ์ เนื่องจากผู้ใช้ส่วนใหญ่ไม่คุ้นเคยกับ Windows component นี้ และไม่เข้าใจถึงความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้น
คำสั่งอันตรายที่ใช้มักเกี่ยวข้องกับ PowerShell cmdlets เช่น iwr (Invoke-WebRequest), irm (Invoke-RestMethod) และ iex (Invoke-Expression) โดยคำสั่งเหล่านี้ถูกนำมาใช้เพื่อดาวน์โหลด และรัน payload จากเซิร์ฟเวอร์ที่ควบคุมจากผู้โจมตี
กรณีศึกษาที่น่าสนใจคือแคมเปญมัลแวร์ Lampion ซึ่งถูกพบครั้งแรกในเดือนพฤษภาคม 2025 โดยมีเป้าหมายคือองค์กรในประเทศโปรตุเกสทั้งภาครัฐ การเงิน และการขนส่ง
แคมเปญนี้ใช้กระบวนการติดมัลแวร์ที่ซับซ้อน โดยขั้นตอนเริ่มต้นจากอีเมลฟิชชิ่งที่แนบไฟล์ ZIP
เมื่อผู้ใช้เปิดไฟล์จะพบ HTML ที่เปลี่ยนเส้นทางไปยังเว็บไซต์ปลอมของหน่วยงานจัดเก็บภาษีโปรตุเกสที่โฮสต์ ClickFix Lure
หลังจากนั้นคำสั่ง PowerShell จะถูกเรียกใช้เพื่อดาวน์โหลด VBScript ที่ถูก obfuscated ไว้ ซึ่งจะสร้างสคริปต์เพิ่มเติมในไดเรกทอรี %TEMP% ของ Windows และทำการสร้าง scheduled tasks เพื่อแฝงตัวอยู่ในระบบ
ความยืดหยุ่นของเทคนิคนี้ไม่ได้จำกัดเพียงแค่ Windows เท่านั้น เพราะในแคมเปญล่าสุดยังพบว่าได้มุ่งเป้าไปที่ผู้ใช้ macOS เพื่อแพร่กระจาย Atomic macOS Stealer (AMOS)
การโจมตีเหล่านี้แสดงให้เห็นถึงความสามารถข้ามแพลตฟอร์ม โดยใช้กลยุทธ์ Social Engineering ที่คล้ายกัน แต่ปรับคำสั่งพื้นฐานให้เหมาะสมกับการทำงานบน macOS terminal
macOS variant ผู้โจมตีใช้กลไกขโมยรหัสผ่านที่ซับซ้อน โดยจะหลอกให้ผู้ใช้ป้อนรหัสผ่านระบบซ้ำ ๆ และนำข้อมูลที่ขโมยมาใช้เพื่อ bypass ระบบความปลอดภัยของ macOS ผ่านคำสั่ง xattr -c
การตรวจจับการโจมตีแบบ ClickFix จำเป็นต้องเฝ้าระวังที่ RunMRU registry key ซึ่งเก็บประวัติการรันคำสั่งจาก Run dialog
โดยทีมความปลอดภัยสามารถตรวจพบพฤติกรรมที่น่าสงสัยได้จากการตรวจสอบรายการที่มี living-off-the-land binaries, IP Address โดยตรง, โดเมนจาก CDN หรือไฟล์ที่มีนามสกุลผิดปกติ
งานวิจัยของ Microsoft ยังเผยด้วยว่าผู้โจมตีมักใช้เทคนิคการ obfuscated เช่น Base64 encoding, string concatenation และ escaped characters
ที่มา : cybersecuritynews
You must be logged in to post a comment.