กลุ่มผู้ไม่หวังดีกำลังใช้วิธีส่งคำสั่งผ่าน DNS queries ซึ่งเป็นส่วนหนึ่งของการโจมตีแบบ ClickFix Social Engineering เพื่อแพร่กระจายมัลแวร์ ถือเป็นครั้งแรกที่มีการตรวจพบการใช้ DNS เป็นช่องทางหลักในแคมเปญลักษณะนี้
โดยปกติแล้ว การโจมตีแบบ ClickFix จะหลอกให้ผู้ใช้งานเรียกใช้คำสั่งที่เป็นอันตรายด้วยตนเอง โดยอ้างว่าเป็นการแก้ไขข้อผิดพลาด, การติดตั้งการอัปเดต หรือการเปิดใช้งานฟีเจอร์ต่าง ๆ
อย่างไรก็ตาม รูปแบบใหม่นี้ได้ใช้เทคนิคใหม่ โดยให้ DNS Server ที่ผู้โจมตีควบคุมอยู่ เป็นตัวส่งข้อมูล Payload ในขั้นตอนที่สองผ่าน DNS lookups แทนการดาวน์โหลดไฟล์แบบปกติ
การใช้ DNS Queries ส่งสคริปต์ PowerShell ที่เป็นอันตราย
ในแคมเปญ ClickFix รูปแบบใหม่ที่ Microsoft ตรวจพบ เหยื่อจะถูกหลอกให้รันคำสั่ง nslookup เพื่อส่ง Query ไปยัง DNS Server ที่ผู้โจมตีควบคุมอยู่ แทนที่จะเป็น DNS Server ปกติของระบบ
คำสั่งดังกล่าวจะ Return ผลลัพธ์ที่มี สคริปต์ PowerShell ที่เป็นอันตรายแฝงอยู่ ซึ่งจะถูกนำไปรันต่อบนเครื่องของเหยื่อเพื่อติดตั้งมัลแวร์ในทันที
Microsoft Threat Intelligence ได้โพสต์บน X โดยระบุว่า "นักวิจัยจาก Microsoft Defender สังเกตเห็นว่าผู้โจมตีได้ใช้อีกหนึ่งวิธีในการหลบเลี่ยงการตรวจจับในเทคนิค ClickFix โดยการขอให้เป้าหมายรันคำสั่งที่ทำการค้นหา DNS แบบกำหนดเอง แล้วดึงข้อมูลจากส่วน Response ในบรรทัด 'Name:' มาประมวลผลเป็น Payload ในขั้นถัดไปเพื่อเรียกใช้งาน"
แม้จะยังไม่แน่ชัดว่ากลุ่มผู้โจมตีใช้สิ่งใดเป็นสิ่งล่อใจเพื่อหลอกให้ผู้ใช้รันคำสั่งดังกล่าว แต่ Microsoft ระบุว่าการโจมตีแบบ ClickFix นี้จะสั่งให้ผู้ใช้งานพิมพ์คำสั่งลงในช่อง Windows Run (Windows + R)
คำสั่งนี้จะทำการค้นหา DNS สำหรับ Hostname "example.com" โดยส่งไปยัง DNS Server ของผู้ไม่หวังดี ที่หมายเลขไอพี 84[.]21.189[.]20 จากนั้นจะนำผลลัพธ์ที่ได้ไปรันผ่าน Windows command interpreter (cmd.exe)
ผลลัพธ์ที่มาจาก DNS response จะมีฟิลด์ที่ชื่อว่า "NAME:" ที่ซ่อน Payload ของ PowerShell สำหรับขั้นตอนที่สองเอาไว้ เพื่อเตรียมรันบนเครื่องเป้าหมาย
แม้ว่าในปัจจุบันเซิร์ฟเวอร์ดังกล่าวจะไม่สามารถใช้งานได้แล้ว แต่ Microsoft ระบุว่า คำสั่ง PowerShell ในขั้นตอนที่สองนั้น มีหน้าที่ดาวน์โหลดมัลแวร์เพิ่มเติมจากระบบที่กลุ่มผู้โจมตีควบคุมอยู่
ท้ายที่สุดแล้ว การโจมตีดังกล่าวจะดาวน์โหลดไฟล์ ZIP archive ที่มีไฟล์ Python runtime และสคริปต์อันตราย ซึ่งจะทำหน้าที่สำรวจข้อมูลบนอุปกรณ์ที่ติดมัลแวร์รวมถึงข้อมูลใน Domain ด้วย
จากนั้น การโจมตีจะทำการสร้างช่องทางการแฝงตัวบนระบบ (Persistence) โดยการสร้างไฟล์ %APPDATA%\WPy64-31401\python\script.vbs และสร้าง Shortcut ไว้ที่ %STARTUP%\MonitoringService.lnk เพื่อให้ไฟล์ VBScript ดังกล่าวทำงานโดยอัตโนมัติทุกครั้งที่เปิดเครื่อง
Payload ตัวสุดท้ายคือมัลแวร์ประเภท Remote Access Trojan ที่รู้จักกันในชื่อ ModeloRAT ซึ่งจะช่วยให้ผู้โจมตีสามารถควบคุมระบบที่ถูกแฮ็กได้จากระยะไกล
เทคนิคนี้ใช้ DNS เป็นทั้งช่องทางการสื่อสาร และจุดพักข้อมูล ซึ่งแตกต่างจากการโจมตีแบบ ClickFix ทั่วไปที่มักจะดึง Payload ผ่านโปรโตคอล HTTP
การใช้ DNS responses ในการส่งสคริปต์ PowerShell ที่เป็นอันตราย ช่วยให้ผู้โจมตีสามารถปรับเปลี่ยน Payload ได้ตลอดเวลา ในขณะที่การโจมตีนั้นจะแฝงตัวไปกับการรับส่งข้อมูล DNS ตามปกติของระบบ
การโจมตีแบบ ClickFix กำลังวิวัฒนาการอย่างรวดเร็ว
การโจมตีแบบ ClickFix มีการพัฒนาอย่างก้าวกระโดดในช่วงไม่กี่ปีที่ผ่านมา โดยกลุ่มผู้ไม่หวังดีได้ทดลองใช้วิธี Delivery tactics และ Payload รูปแบบใหม่ ๆ ที่มุ่งเป้าไปยังระบบปฏิบัติการที่หลากหลายขึ้น
แคมเปญ ClickFix ที่เคยมีรายงานก่อนหน้านี้ จะเน้นไปที่การหลอกให้ผู้ใช้งานรันคำสั่ง PowerShell หรือ Shell commands บนระบบปฏิบัติการโดยตรงเพื่อติดตั้งมัลแวร์
แต่ในแคมเปญล่าสุด ผู้โจมตีได้ขยายเทคนิคของตนให้เหนือกว่าการส่ง Payload มัลแวร์ผ่านช่องทางเว็บแบบเดิมไปเรียบร้อยแล้ว
ยกตัวอย่างเช่น การโจมตีแบบ ClickFix เมื่อเร็ว ๆ นี้ที่ชื่อว่า "ConsentFix" ได้อาศัยช่องโหว่ของแอปพลิเคชัน Azure CLI OAuth ในการขโมยบัญชี Microsoft โดยไม่ต้องใช้รหัสผ่าน และยังสามารถหลบเลี่ยงการยืนยันตัวตนแบบ MFA ได้อีกด้วย
ด้วยความนิยมที่เพิ่มขึ้นของ AI LLM ในชีวิตประจำวัน กลุ่มผู้ไม่หวังดีจึงเริ่มใช้หน้าการแชร์บทสนทนาของ ChatGPT และ Grok รวมถึงหน้า Claude Artifacts เพื่อเผยแพร่คู่มือปลอมสำหรับการโจมตีแบบ ClickFix
นอกจากนี้ BleepingComputer ยังได้รายงานเกี่ยวกับเทคนิครูปแบบใหม่ของ ClickFix ที่แพร่กระจายผ่านช่องคอมเมนต์ใน Pastebin ซึ่งหลอกให้ผู้ใช้งาน Cryptocurrency รัน JavaScript ที่เป็นอันตรายบนเบราว์เซอร์โดยตรงในขณะที่กำลังเข้าใช้งานเว็บเทรด เพื่อทำการลักลอบแก้ไขรายการธุรกรรมของผู้ใช้งาน
นี่คือหนึ่งในแคมเปญ ClickFix ยุคแรก ๆ ที่ถูกออกแบบมาเพื่อรัน JavaScript ภายในเบราว์เซอร์ และทำการลักลอบแก้ไขฟังก์ชันการทำงานของเว็บแอปพลิเคชันโดยตรง แทนที่จะเป็นการติดตั้งมัลแวร์ลงในเครื่อง
ที่มา : bleepingcompute
You must be logged in to post a comment.