Tor ได้ประกาศยกระดับการเข้ารหัส และความปลอดภัยสำหรับการรับส่งข้อมูลผ่าน Circuit โดยการเปลี่ยน Relay Encryption Algorithm แบบเดิมที่ชื่อ "tor1" มาใช้รูปแบบใหม่ที่เรียกว่า Counter Galois Onion (CGO) (more…)

ทีมนักวิจัยได้รวบรวมรายการเบอร์โทรศัพท์มือถือของผู้ใช้ WhatsApp จำนวน 3.5 พันล้านหมายเลข พร้อมข้อมูลส่วนตัวที่เกี่ยวข้อง โดยอาศัยช่องโหว่จาก API สำหรับค้นหารายชื่อผู้ติดต่อที่ไม่มีระบบจำกัดจำนวนการเรียกใช้งาน (more…)

Microsoft กำลังตรวจสอบเหตุการณ์ที่ทำให้บริการ Exchange Online หยุดการทำงาน ซึ่งส่งผลให้ลูกค้าไม่สามารถเข้าถึง mailbox ของตนผ่านโปรแกรม Outlook บน desktop ได้ (more…)

Key Message

มีรายงานช่องโหว่ RCE ระดับ Critical CVE-2025-48593 ในรูปแบบ Zero-Click บนระบบปฏิบัติการ Android
ผู้โจมตีสามารถรันโค้ดอันตรายจากระยะไกลบนอุปกรณ์เหยื่อได้ทันที เพียงแค่อุปกรณ์ยังไม่ได้ทำการอัปเดต โดยที่เหยื่อไม่ต้องดำเนินการใด ๆ ทั้งสิ้น ไม่ต้องคลิก, ไม่ต้องเปิดไฟล์
ส่งผลกระทบต่อ Android (AOSP) เวอร์ชัน 13, 14, 15, และ 16
วิธีแก้ไขช่องโหว่ที่ดีที่สุดคือการอัปเดตแพตช์ November 2025 Android Security Bulletin ที่ Google ได้ปล่อยออกมาแล้วทันที
สำหรับผู้ที่ยังไม่สามารถอัปเดตได้ ควรพิจารณา ปิด Bluetooth ชั่วคราว โดยเฉพาะในพื้นที่ที่มีผู้คนหนาแน่น เพื่อลดความเสี่ยงจากการถูกโจมตี

เมื่อวันที่ 3 พฤศจิกายน 2025 ที่ผ่านมา Google ได้เผยแพร่ Android Security Bulletin ประจำเดือนพฤศจิกายน ซึ่งมีการเปิดเผยช่องโหว่ด้านความปลอดภัยหลายรายการ และหนึ่งในนั้นที่สร้างความกังวลให้กับผู้ใช้งาน Android เป็นอย่างมาก คือช่องโหว่ CVE-2025-48593 ซึ่งถูกระบุว่าเป็นช่องโหว่ระดับ Critical และเป็นช่องโหว่ประเภท Zero-Click Remote Code Execution (RCE)

โดยช่องโหว่แบบ “Zero-Click” เป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายบนอุปกรณ์ของเหยื่อได้โดยที่เหยื่อไม่จำเป็นต้องดำเนินการใด ๆ ทั้งสิ้น ไม่ต้องคลิก, ไม่ต้องเปิดไฟล์ ก็อาจถูกโจมตีได้ทันที ลักษณะการโจมตีที่ง่ายดายเช่นนี้ ทำให้ช่องโหว่ CVE-2025-48593 ถูกคาดหมายว่าอาจเป็น "ฝันร้าย" สำหรับผู้ใช้งาน Android

รายละเอียดทางเทคนิคของ CVE-2025-48593

หมายเลข CVE (CVE ID) : CVE-2025-48593
ระดับความรุนแรง (Severity) : Critical (ตามการประเมินของ Google ใน Android Security Bulletin)
ประเภทของช่องโหว่ (Vulnerability Type) : Remote Code Execution (RCE)
ระบบที่ได้รับผลกระทบ (Affected Component) : System Component ของ Android
การโต้ตอบจากผู้ใช้ (User Interaction) : “Zero-Click” ไม่ต้องอาศัยการโต้ตอบใด ๆ จากผู้ใช้งาน
ผู้รายงานช่องโหว่ (Researcher) : Dikun Zhang จาก Li Auto security team
เวอร์ชันที่ได้รับผลกระทบ (Affected Versions) : Android (AOSP) 13, 14, 15, 16
วิธีการลดผลกระทบ (Mitigation) : อัปเดตแพตซ์ November 2025 Android Security Bulletin

ข้อมูลเพิ่มเติมของช่องโหว่
ช่องโหว่นี้ถูกเปิดเผยอย่างเป็นทางการโดย Google ใน Security Bulletin ของ Android ประจำเดือนพฤศจิกายน 2025 โดย Google ให้เครดิตการค้นพบ และรายงานช่องโหว่กับ Dikun Zhang (stardesty) นักวิจัยจากทีมความปลอดภัยของ Li Auto

โดยการที่นักวิจัยสังกัดบริษัทรถยนต์เป็นผู้ค้นพบช่องโหว่ แสดงให้เห็นถึงความก้าวหน้าของเทคโนโลยียานยนต์ในปัจจุบัน เนื่องจากระบบบันเทิงในรถยนต์สมัยใหม่ถูกสร้างขึ้นบน Android Open Source Project (AOSP) มากขึ้น การค้นพบช่องโหว่นี้แสดงให้เห็นว่า ในขณะที่พื้นที่การโจมตีของ Android ขยายไปสู่โครงสร้างพื้นฐานที่สำคัญ นักวิจัยจากอุตสาหกรรมที่ได้รับผลกระทบใหม่ ๆ เหล่านี้กำลังกลายเป็นส่วนสำคัญในการค้นพบช่องโหว่ในโค้ดหลักของ AOSP

ถึงแม้ยังไม่มีรายละเอียดของช่องโหว่ และวิธีการโจมตีจาก Google ออกมาอย่างเป็นทางการ แต่จากการวิเคราะห์ทางเทคนิคที่ปรากฏในรายงานของ Tenable และการอ้างอิงโค้ดจาก AOSP (Android Open Source Project) พบว่าช่องโหว่นี้มีสาเหตุมาจาก Android Component ซึ่งเกี่ยวข้องกับโมดูล Bluetooth โดยเฉพาะอย่างยิ่งในส่วนของ Hands-Free Client (HF client) โดย Tenable ระบุว่า ช่องโหว่นี้เป็นช่องโหว่ในลักษณะ Use-After-Free ซึ่งเกิดขึ้นในฟังก์ชัน bta_hf_client_cb_init ภายในไฟล์ bta_hf_client_main.

พบแคมเปญที่มีความเชื่อมโยงกับรัสเซีย กำลังแพร่กระจายมัลแวร์ขโมยข้อมูล StealC V2 ผ่านไฟล์ Blender ที่เป็นอันตราย ซึ่งถูกอัปโหลดไปยังตลาดซื้อขาย 3D model เช่น CGTrader (more…)

SitusAMC บริษัทผู้ให้บริการระบบสนับสนุนการทำงานให้กับธนาคาร และผู้ปล่อยกู้ชั้นนำ ได้เปิดเผยเมื่อวันเสาร์ที่ผ่านมาเกี่ยวกับเหตุการณ์ข้อมูลรั่วไหลที่บริษัทตรวจพบเมื่อต้นเดือนนี้ ซึ่งส่งผลกระทบต่อข้อมูลของลูกค้า (more…)

มหาวิทยาลัย Harvard เปิดเผยเมื่อช่วงสุดสัปดาห์ที่ผ่านมาว่า ระบบงานศิษย์เก่าสัมพันธ์ และการพัฒนาถูกโจมตีระบบผ่านการโจมตีแบบ Voice Phishing ส่งผลให้ข้อมูลส่วนบุคคลของนักศึกษา, ศิษย์เก่า, ผู้บริจาค, เจ้าหน้าที่ และคณาจารย์รั่วไหลออกไป (more…)

CISA กำลังแจ้งเตือนหน่วยงานรัฐบาลให้ทำการแพตช์แก้ไขระบบ Oracle Identity Manager ซึ่งมีหมายเลขช่องโหว่คือ CVE-2025-61757 โดยช่องโหว่ดังกล่าวถูกนำไปใช้ในการโจมตีจริงแล้ว และมีความเป็นไปได้ว่าอาจเป็นการโจมตีแบบ Zero-day

CVE-2025-61757 เป็นช่องโหว่ประเภท RCE แบบไม่ต้องยืนยันตัวตนใน Oracle Identity Manager ซึ่งถูกค้นพบ และเปิดเผยโดย Adam Kues และ Shubham Shahflaw นักวิเคราะห์จาก Searchlight Cyber

ช่องโหว่ดังกล่าวเกิดจากการ Authentication bypass ใน REST API ของ Oracle Identity Manager โดย Security filter สามารถถูกหลอกให้เข้าใจผิดว่า Endpoint ที่มีการป้องกันนั้นเป็นพื้นที่สาธารณะ เพียงแค่เติมพารามิเตอร์อย่าง ?WSDL หรือ ;.wadl ต่อท้าย URL paths

เมื่อสามารถเข้าถึงได้โดยไม่ต้องยืนยันตัวตนแล้ว ผู้โจมตีจะสามารถเข้าถึง Groovy script ซึ่งเป็น Endpoint สำหรับการ compilation ที่ตามปกติจะไม่ได้สั่ง execute script แต่ช่องทางนี้กลับสามารถถูกใช้เพื่อเรียกใช้โค้ดที่เป็นอันตรายในช่วง Compile time ได้ ผ่านทางฟีเจอร์การประมวลผล Annotation ของ Groovy

การเชื่อมโยงช่องโหว่เหล่านี้เข้าด้วยกัน ทำให้นักวิจัยสามารถเรียกใช้โค้ดจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตนบนระบบ Oracle Identity Manager ที่ได้รับผลกระทบได้สำเร็จ

ช่องโหว่ดังกล่าวได้รับการแก้ไขแล้ว โดยเป็นส่วนหนึ่งของการอัปเดตความปลอดภัยประจำเดือนตุลาคม 2025 ของ Oracle ที่ปล่อยออกมาเมื่อวันที่ 21 ตุลาคมที่ผ่านมา

วันที่ 20 พฤศจิกายนที่ผ่านมา Searchlight Cyber ได้เผยแพร่รายงานเชิงเทคนิคที่ลงรายละเอียดเกี่ยวกับช่องโหว่ดังกล่าว พร้อมทั้งให้ข้อมูลทั้งหมดที่จำเป็นสำหรับการใช้ช่องโหว่นี้ในการโจมตี

นักวิจัย ระบุว่า "เมื่อพิจารณาถึงความซับซ้อนของช่องโหว่ Oracle Access Manager บางรายการก่อนหน้านี้ ช่องโหว่ตัวนี้ถือว่าค่อนข้างไม่ซับซ้อน และง่ายต่อการถูกผู้ไม่หวังดีนำไปใช้ในการโจมตี"

CVE-2025-61757 ถูกนำไปใช้ในการโจมตีจริง

วันที่ 21 พฤศจิกายนที่ผ่านมา ทาง CISA ได้เพิ่มช่องโหว่ CVE-2025-61757 ของ Oracle เข้าสู่บัญชีรายชื่อช่องโหว่ที่กำลังถูกใช้ในการโจมตีจริง (KEV catalog) และได้กำหนดเส้นตายให้หน่วยงานฝ่ายบริหารของรัฐบาลกลาง (FCEB) ดำเนินการอัปเดตแพตช์แก้ไขช่องโหว่ดังกล่าวให้แล้วเสร็จภายในวันที่ 12 ธันวาคม ตามข้อบังคับในคำสั่งการดำเนินงานที่มีผลผูกพัน (BOD) 22-01

CISA ระบุว่า "ช่องโหว่ประเภทนี้ถือเป็นช่องทางการโจมตีที่พบได้บ่อยสำหรับผู้ไม่หวังดีทางไซเบอร์ และก่อให้เกิดความเสี่ยงอย่างมีนัยสำคัญต่อหน่วยงานของรัฐบาลกลาง"

แม้ว่าทาง CISA จะยังไม่ได้เปิดเผยรายละเอียดว่าช่องโหว่ดังกล่าวถูกนำไปใช้ในการโจมตีอย่างไร แต่ Johannes Ullrich คณบดีฝ่ายวิจัยของสถาบัน SANS Technology Institute ได้ออกมาเตือนเมื่อวันที่ 20 พฤศจิกายนว่า ช่องโหว่ดังกล่าวอาจถูกนำไปใช้โจมตีในรูปแบบ Zero-day มาตั้งแต่วันที่ 30 สิงหาคมแล้ว

Ullrich อธิบายไว้ในบันทึก ISC Handler Diary ระบุว่า "URL นี้ถูกเข้าถึงหลายครั้งในช่วงระหว่างวันที่ 30 สิงหาคม ถึง 9 กันยายนของปีนี้ ซึ่งเป็นเวลานานก่อนที่ Oracle จะออกแพตช์แก้ไขช่องโหว่ดังกล่าว"

"มี IP Address ที่แตกต่างกันจำนวนมากที่ทำการสแกนหาช่องโหว่ดังกล่าว แต่ทั้งหมดกลับใช้ User Agent ตัวเดียวกัน ซึ่งแสดงให้เห็นว่าเราอาจกำลังรับมือกับผู้โจมตีเพียงรายเดียว"

จากข้อมูลของ Ullrich ผู้ไม่หวังดีได้ส่งคำสั่ง HTTP POST request ไปยัง Endpoint ต่าง ๆ ดังต่อไปนี้ ซึ่งตรงกับรูปแบบการโจมตีระบบที่ทาง Searchlight Cyber ได้แชร์ข้อมูลเอาไว้

นักวิจัยระบุว่า ความพยายามในการโจมตีมาจาก IP Address ที่แตกต่างกันจำนวน 3 IP ได้แก่ 89.238.132[.]76, 185.245.82[.]81 และ 138.199.29[.]153 แต่ทั้งหมดกลับใช้ User Agent ของเบราว์เซอร์ตัวเดียวกัน ซึ่งตรงกับ Google Chrome 60 บนระบบปฏิบัติการ Windows 10

ที่มา : bleepingcomputer

CrowdStrike บริษัทด้านความปลอดภัยทางไซเบอร์สัญชาติอเมริกัน ออกมายืนยันว่ามีบุคลากรภายในองค์กรทำการส่งภาพหน้าจอ (Screenshots) ของระบบภายในให้กับแฮ็กเกอร์ โดยเรื่องนี้ถูกเปิดเผยหลังจากที่ภาพเหล่านั้นถูกนำไปเผยแพร่บน Telegram จากกลุ่มผู้ไม่หวังดีที่ใช้ชื่อว่า Scattered Lapsus$ Hunters

อย่างไรก็ตาม ทาง CrowdStrike ระบุว่า ระบบของบริษัทไม่ได้ถูกโจมตีจากเหตุการณ์ในครั้งนี้ และข้อมูลของลูกค้าก็ไม่ได้รับความเสียหาย หรือรั่วไหลแต่อย่างใด

โฆษกของ CrowdStrike ได้ให้ข้อมูลกับสำนักข่าว โดยระบุว่า "บริษัทได้ตรวจพบ และเลิกจ้างบุคลากรภายในที่มีพฤติกรรมน่าสงสัยไปเมื่อเดือนที่ผ่านมา ภายหลังจากการสอบสวนภายในพบว่าบุคคลดังกล่าวได้ทำการส่งภาพหน้าจอคอมพิวเตอร์ของตนออกไปสู่ภายนอก"

"ระบบของบริษัทไม่ได้ถูกโจมตี และลูกค้ายังคงได้รับการปกป้องตลอดเวลาที่ผ่านมา ขณะนี้บริษัทได้ส่งเรื่องดังกล่าวให้กับหน่วยงานบังคับใช้กฎหมายที่เกี่ยวข้องดำเนินการต่อแล้ว"

ทาง CrowdStrike ไม่ได้ระบุเจาะจงถึงกลุ่มผู้ไม่หวังดีที่อยู่เบื้องหลังเหตุการณ์ดังกล่าว หรือแรงจูงใจของพนักงานผู้ประสงค์ร้ายที่ทำการแชร์ภาพหน้าจอเหล่านั้น

อย่างไรก็ตาม การให้ข้อมูลในครั้งนี้เป็นการตอบกลับข้อซักถามจาก BleepingComputer เกี่ยวกับภาพหน้าจอระบบของ CrowdStrike ที่เพิ่งถูกโพสต์บน Telegram โดยสมาชิกของกลุ่มผู้ไม่หวังดี ได้แก่ ShinyHunters, Scattered Spider และ Lapsus$

ShinyHunters ได้เปิดเผยกับ BleepingComputer ในวันที่ 21 พฤศจิกายนที่ผ่านมาโดยระบุว่า พวกเขาอ้างว่าได้ตกลงที่จะจ่ายเงินจำนวน 25,000 ดอลลาร์สหรัฐฯ ให้กับบุคลากรภายในรายดังกล่าว เพื่อแลกกับการได้รับสิทธิ์เข้าถึงเครือข่ายของ CrowdStrike

กลุ่มผู้ไม่หวังดีกลุ่มนี้ยังอ้างอีกว่า ในท้ายที่สุดพวกเขาได้รับ SSO authentication cookies มาจากคนใน แต่ทว่าในขณะนั้น ทาง CrowdStrike ได้ตรวจพบพฤติกรรมของบุคคลที่น่าสงสัยรายนี้แล้ว และได้ทำการ ระงับสิทธิ์การเข้าถึงเครือข่าย ไปเป็นที่เรียบร้อยแล้ว

นอกจากนี้ กลุ่มแฮ็กเกอร์ดังกล่าวยังระบุเพิ่มเติมว่า พวกเขาพยายามที่จะขอซื้อรายงานวิเคราะห์ของ CrowdStrike ที่เกี่ยวกับกลุ่ม ShinyHunters และ Scattered Spider ด้วย แต่ไม่ได้รับข้อมูลในส่วนนั้นมา

ทาง BleepingComputer ได้ติดต่อไปยัง CrowdStrike อีกครั้งเพื่อขอคำยืนยันว่าข้อมูลที่กลุ่มแฮ็กเกอร์กล่าวอ้างนั้นถูกต้องหรือไม่ และจะทำการอัปเดตเนื้อหาข่าวทันทีหากได้รับข้อมูลเพิ่มเติม

กลุ่มแฮ็กเกอร์ "Scattered Lapsus$ Hunters"

กลุ่มแฮ็กเกอร์นี้ ซึ่งปัจจุบันเรียกตัวเองรวมกันว่า "Scattered Lapsus$ Hunters" ก่อนหน้านี้เคยเปิดเว็บไซต์สำหรับปล่อยข้อมูลที่ได้จากการขโมยมา เพื่อใช้ข่มขู่เรียกค่าไถ่จากบริษัทหลายสิบแห่งที่ได้รับผลกระทบจากเหตุการณ์โจมตีระบบ Salesforce ครั้งใหญ่

กลุ่ม Scattered Lapsus$ Hunters ได้มุ่งเป้าโจมตีลูกค้าของ Salesforce ด้วยวิธีการ หลอกลวงทางโทรศัพท์ (Voice Phishing) มาตั้งแต่ต้นปี โดยสามารถโจมตีระบบของบริษัทชั้นนำได้มากมาย อย่างเช่น Google, Cisco, Allianz Life, Farmers Insurance, Qantas, Adidas, Workday รวมถึงบริษัทในเครือ LVMH อาทิ Dior, Louis Vuitton และ Tiffany & Co.

บริษัทที่กลุ่มดังกล่าวพยายามทำการข่มขู่เรียกค่าไถ่ประกอบไปด้วยแบรนด์ และองค์กรที่มีชื่อเสียงระดับโลก ได้แก่ Google, Cisco, Toyota, Instacart, Cartier, Adidas, Saks Fifth Avenue, Air France & KLM, FedEx, Disney/Hulu, Home Depot, Marriott, Gap, McDonald's, Walgreens, Transunion, HBO MAX, UPS, Chanel และ IKEA

นอกจากนี้ กลุ่ม Scattered Lapsus$ Hunters ยังออกมาอ้างความรับผิดชอบต่อเหตุการณ์โจมตีระบบของ Jaguar Land Rover (JLR) โดยได้ทำการขโมยข้อมูลที่มีความสำคัญ และส่งผลกระทบต่อการดำเนินงานอย่างรุนแรง ซึ่งก่อให้เกิดความเสียหายมูลค่ากว่า 196 ล้านปอนด์ (ราว 220 ล้านดอลลาร์สหรัฐฯ) ในไตรมาสที่ผ่านมา

ตามที่ BleepingComputer ได้รายงานไปเมื่อสัปดาห์นี้ กลุ่มผู้ไม่หวังดีอย่าง ShinyHunters และ Scattered Spider กำลังเปลี่ยนไปใช้งานแพลตฟอร์ม Ransomware-as-a-service ตัวใหม่ที่ชื่อว่า "ShinySp1d3r" หลังจากที่ก่อนหน้านี้เคยอาศัยโปรแกรมเข้ารหัสไฟล์ของกลุ่ม Ransomware อื่น ๆ ในการโจมตี เช่น ALPHV/BlackCat, RansomHub, Qilin และ DragonForce

เมื่อวันพฤหัสบดีที่ผ่านมา ShinyHunters ยังได้ออกมาอ้างถึงการโจมตีเพื่อขโมยข้อมูลครั้งใหม่ ซึ่งส่งผลกระทบต่อระบบ Salesforce ของบริษัทต่าง ๆ กว่า 280 แห่ง โดยในข้อความบน Telegram วันที่ 21 พฤศจิกายนที่ผ่านมา พวกเขาระบุว่ารายชื่อบริษัทที่ถูกโจมตีระบบนั้นรวมถึงองค์กรที่มีชื่อเสียงหลายแห่ง เช่น LinkedIn, GitLab, Atlassian, Thomson Reuters, Verizon, F5, SonicWall, DocuSign และ Malwarebytes

กลุ่มผู้ไม่หวังดียังได้เปิดเผยกับ BleepingComputer เมื่อวันที่ 20 พฤศจิกายนที่ผ่านมาว่า พวกเขาเข้าถึงระบบ Salesforce ได้หลังจากที่โจมตีระบบของ Gainsight สำเร็จ โดยอาศัยข้อมูลสำคัญที่ได้ขโมยมาจากเหตุการณ์ข้อมูลรั่วไหลของ Salesloft

ที่มา : bleepingcomputer

มีการพบการโจมตีแบบ ClickFix หลายรูปแบบ โดย Hacker จะหลอกผู้ใช้ด้วยภาพเคลื่อนไหวของ Windows Update ที่ดูเหมือนจริงในหน้าเบราว์เซอร์แบบ full-screen และซ่อนคำสั่งอันตรายไว้ในรูปภาพ

ClickFix เป็นการโจมตีแบบ Social-Engineering ที่ผู้ใช้ถูกหลอกให้วาง และรันโค้ด หรือคำสั่งใน Command Prompt ของ Windows ซึ่งนำไปสู่การเรียกใช้มัลแวร์บนระบบ

การโจมตีแบบ ClickFix ได้รับความนิยมอย่างแพร่หลายในกลุ่ม Hacker ในทุกระดับ เนื่องจากมีประสิทธิภาพสูง และได้รับการพัฒนาอย่างต่อเนื่อง โดยมีวิธีการที่มีการพัฒนา และซับซ้อนในการหลอกลวงมากขึ้นเรื่อย ๆ

Fullscreen Browser Page

ตั้งแต่วันที่ 1 ตุลาคม 2025 นักวิจัยได้พบการโจมตีแบบ ClickFix ที่แสดงการแจ้งเตือนปลอมเป็นการติดตั้งการอัปเดตความปลอดภัยบน Windows ให้เสร็จสมบูรณ์ และหน้าแจ้งเตือน "human verification" ซึ่งมักพบได้บ่อย

หน้าอัปเดตปลอมจะสั่งให้เหยื่อกดปุ่มเฉพาะตามลำดับที่กำหนด ซึ่งจะวาง และรันคำสั่งจาก Hacker ที่คัดลอกไปยัง clipboard โดยอัตโนมัติผ่าน JavaScript ที่ทำงานบนเว็บไซต์

รายงานจาก Huntress ผู้ให้บริการด้านความปลอดภัยระบุว่า ClickFix เวอร์ชันใหม่นี้ ได้ฝังโปรแกรมอันตราย ได้แก่ LummaC2 และ Rhadamanthys info stealers

การโจมตีมีหลายรูปแบบ เช่น การใช้ใบหน้ายืนยันตัวตน ในขณะที่อีกรูปแบบหนึ่งใช้หน้าจอ Windows Update ปลอม

อย่างไรก็ตาม การโจมตีทั้งสองกรณี Hacker ใช้การซ่อนข้อมูล (steganography) เพื่อเข้ารหัสเพย์โหลดมัลแวร์ในขั้นตอนสุดท้ายภายในรูปภาพ

นักวิจัยของ Huntress อธิบายว่า "แทนที่จะผนวกข้อมูลที่เป็นอันตรายลงในไฟล์เพียงอย่างเดียว โค้ดที่เป็นอันตรายจะถูกเข้ารหัสโดยตรงภายในข้อมูลพิกเซลของรูปภาพ PNG โดยอาศัยช่องสีเฉพาะเพื่อสร้าง และถอดรหัสเพย์โหลดในหน่วยความจำ"

การติดตั้งเพย์โหลดสุดท้ายเริ่มต้นด้วยการใช้ไบนารี mshta ของ Windows เพื่อรันโค้ด JavaScript ที่เป็นอันตราย

กระบวนการทั้งหมดประกอบด้วยหลายขั้นตอนที่ใช้โค้ด PowerShell และ .NET assembly (the Stego Loader) ซึ่งรับผิดชอบในการสร้างเพย์โหลดสุดท้ายที่ฝังอยู่ในไฟล์ PNG ในสถานะเข้ารหัส

โดยภายใน manifest resources ของ Stego Loader มี blob ที่เข้ารหัส AES ซึ่งจริง ๆ แล้วเป็นไฟล์ steganographic PNG file ซึ่งประกอบด้วย shellcode ที่ถูกสร้างขึ้นใหม่โดยใช้โค้ด C# ที่สร้างขึ้นมาเอง

นักวิจัยของ Huntress พบว่า Hacker ใช้วิธีการหลบเลี่ยงการตรวจจับแบบไดนามิก ซึ่งมักเรียกว่า ctrampoline โดยเมื่อ entry point function ใช้งาน จะเริ่มเรียกใช้ empty functions 10,000 ฟังก์ชัน

shellcode ที่เก็บตัวอย่าง infostealer จะถูกแยกออกมาจากรูปภาพที่เข้ารหัส และถูกแพ็กโดยใช้เครื่องมือ Donut ซึ่งช่วยให้สามารถรันไฟล์ VBScript, JScript, EXE, DLL และแอสเซมบลี .NET ในหน่วยความจำได้

หลังจากแกะแพ็กเกจดังกล่าวแล้ว นักวิจัยของ Huntress สามารถดึงมัลแวร์ออกมาได้ ซึ่งก็คือ LummaC2 และ Rhadamanthys

นักวิจัยพบมัลแวร์ Rhadamanthys ที่ใช้ Windows Update ในการโจมตีครั้งแรกในเดือนตุลาคม 2025 ก่อนที่จะถูกปฏิบัติการ Operation Endgame ตรวจจับ และโดนทำลายโครงสร้างพื้นฐานบางส่วนในวันที่ 13 พฤศจิกายน 2025

Huntress การดำเนินการบังคับใช้กฎหมายส่งผลให้ข้อมูลไม่ได้ถูกส่งไปที่โดเมน Windows Update ปลอมอีกต่อไป ซึ่งยังคงใช้งานได้อยู่

เพื่อความปลอดภัยจากการโจมตี ClickFix ประเภทนี้ นักวิจัยแนะนำให้ปิดการใช้งาน Windows Run box และตรวจหา Process ที่น่าสงสัย เช่น explorer.