การโจมตี ClickFix แบบใหม่บน macOS ทำการ Mounts ไฟล์ DMG อย่างเงียบ ๆ เพื่อแพร่กระจายมัลแวร์ Infostealer

แคมเปญ ClickFix แบบใหม่บน macOS กำลังใช้คำสั่ง Terminal เพื่อดาวน์โหลด, Mount และรันมัลแวร์ขโมยข้อมูลจากไฟล์ Disk image (DMG) ที่เป็นอันตรายอย่างเงียบ ๆ

แคมเปญนี้กำลังแพร่กระจายมัลแวร์ลงในอุปกรณ์ Mac ด้วยมัลแวร์ขโมยข้อมูลที่ชื่อว่า Atomic macOS Stealer (AMOS) ซึ่งจะขโมยข้อมูล Credentials บนเบราว์เซอร์, ข้อมูล Crypto wallet, ข้อมูล Keychain, ข้อมูลแอปส่งข้อความ และ Documents ต่าง ๆ ของผู้ใช้

นักวิจัยจาก Unit 42 ของ Palo Alto Networks เป็นผู้ค้นพบแคมเปญนี้เป็นครั้งแรก และระบุว่า การโจมตีจะเริ่มต้นจากหน้า CAPTCHA ปลอมที่หลอกให้ผู้ใช้เปิด Terminal แล้ววางคำสั่งที่เป็นอันตรายลงไปเพื่อยืนยันตัวตน

เมื่อรันคำสั่งดังกล่าวแล้ว มัลแวร์จะทำการดาวน์โหลดไฟล์ DMG จากเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี ทำการ Mount ไฟล์อย่างเงียบ ๆ ด้วยเครื่องมือ hdiutil ที่มีอยู่ใน macOS จากนั้นจะค้นหาชุดแอปพลิเคชันที่อยู่ข้างใน และเปิดใช้งานโดยอัตโนมัติ

ClickFix เป็นเทคนิค Social Engineering ที่จะแสดงหน้า CAPTCHA ปลอม, ข้อความแจ้งเตือน Errors ของเบราว์เซอร์ หรือการแจ้งเตือนของระบบ เพื่อหลอกให้ผู้ที่เข้ามาเยี่ยมชมเว็บไซต์ทำการคัดลอก และรัน "คำแนะนำในการแก้ไขปัญหา" ซึ่งผู้โจมตีเป็นคนเตรียมไว้ให้ เทคนิคนี้ได้รับความนิยมเพิ่มขึ้นอย่างมากในกลุ่มผู้ไม่หวังดีในช่วงปีที่ผ่านมา และถูกนำไปใช้แพร่กระจายมัลแวร์โดยทั้งกลุ่มอาชญากรไซเบอร์ และกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาล

แม้ว่าการโจมตีแบบ ClickFix ที่เกี่ยวข้องกับไฟล์ DMG จะไม่ใช่เรื่องใหม่ แต่ในแคมเปญก่อนหน้านี้มักจะอาศัยให้ผู้ใช้ทำการเปิดไฟล์ DMG ที่ดาวน์โหลดมาด้วยตัวเอง เพื่อเปิดแอปพลิเคชันที่เป็นอันตราย หรือรันสคริปต์จากเซิร์ฟเวอร์ของผู้โจมตี

แคมเปญที่ตรวจพบโดย Palo Alto ได้นำทั้งสองแนวทางมาผสานรวมกัน โดยใช้คำสั่ง Terminal เพื่อดาวน์โหลดไฟล์ DMG อย่างเงียบ ๆ และเปิดใช้งานมัลแวร์ที่แฝงอยู่ภายใน

หลังจากรันคำสั่ง Terminal การโจมตีจะทำการดาวน์โหลดไฟล์ DMG ที่เป็นอันตรายจาก svs-verificationdate[.]beer โดยใช้คำสั่ง curl พร้อมกับ flags -fsSL เพื่อซ่อนการแสดงผลการทำงาน และบันทึกไฟล์ลงในโฟลเดอร์ /tmp ด้วยการสุ่มชื่อไฟล์

จากนั้น คำสั่งดังกล่าวจะสั่งรัน hdiutil attach -nobrowse เพื่อทำการ Mount disk image ที่ดาวน์โหลดมา โดยไม่ให้แสดงผลใน Finder หรือบนหน้าจอ Desktop

หลังจากนั้น สคริปต์จะทำการค้นหาลึกลงไปสูงสุด 3 ระดับของโฟลเดอร์ เพื่อหาไฟล์ติดตั้ง .app หรือ .pkg ตัวแรกที่เจอ และหากพบไฟล์ดังกล่าว ก็จะเปิดใช้งานโดยใช้คำสั่ง open ของ macOS

นักวิจัยพบว่ามัลแวร์ถูกส่งมาในรูปแบบ Disk image ที่ชื่อว่า "s.01M0td.

กลุ่ม LeakNet Ransomware ใช้เทคนิค ClickFix และ Deno Runtime ในการโจมตีแบบอำพรางตัว

กลุ่ม LeakNet ransomware กำลังใช้เทคนิค ClickFix เพื่อข้าสู่ระบบเครือข่ายขององค์กร และใช้ loader มัลแวร์ที่พัฒนาขึ้นจาก Deno ซึ่งเป็น Open-source runtime สำหรับ JavaScript และ TypeScript โดยผู้โจมตีใช้ Deno ที่ถูกต้องในการถอดรหัส และเรียกใช้เพย์โหลดโดยตรงไปยัง memory ของระบบ เพื่อทำลายหลักฐานบนดิสก์ และหลีกเลี่ยงการตรวจจับ

(more…)

การโจมตีด้วยแรนซัมแวร์ Termite เชื่อมโยงกับการโจมตีของ CastleRAT ด้วย ClickFix

นักวิจัยได้เผยแพร่การค้นพบกลุ่ม Ransomware ในชื่อ Velvet Tempest ได้ใช้เทคนิคการโจมตีแบบ ClickFix และ Windows utility ในการติดตั้ง DonutLoader malware และ CastleRAT backdoor (more…)

Microsoft เปิดเผยแคมเปญ ClickFix ที่ใช้ Windows Terminal ในการติดตั้งมัลแวร์ Lumma Stealer

เมื่อวันพฤหัสบดีที่ผ่านมา (5 มีนาคม 2026) Microsoft ได้เปิดเผยรายละเอียดเกี่ยวกับ social engineering campaign แบบ ClickFix รูปแบบใหม่ที่กำลังแพร่ระบาด ซึ่งใช้แอปพลิเคชัน Windows Terminal เป็นช่องทางในการเริ่ม Attack Chain ที่ซับซ้อนเพื่อติดตั้งมัลแวร์ Lumma Stealer

กิจกรรมดังกล่าว ถูกพบในช่วงเดือนกุมภาพันธ์ 2026  โดยจุดที่น่าสังเกตในครั้งนี้ คือการใช้โปรแกรมจำลอง Terminal แทนที่จะแนะนำให้ผู้ใช้เปิดหน้าต่าง Windows Run และวางคำสั่งลงไป

(more…)

การโจมตีรูปแบบใหม่ของ ClickFix ใช้ nslookup เพื่อดึงข้อมูล PowerShell ผ่าน DNS

กลุ่มผู้ไม่หวังดีกำลังใช้วิธีส่งคำสั่งผ่าน DNS queries ซึ่งเป็นส่วนหนึ่งของการโจมตีแบบ ClickFix Social Engineering เพื่อแพร่กระจายมัลแวร์ ถือเป็นครั้งแรกที่มีการตรวจพบการใช้ DNS เป็นช่องทางหลักในแคมเปญลักษณะนี้

(more…)

พบการโจมตีแบบ ClickFix ที่ใช้ Windows Update screen ปลอมเพื่อแพร่กระจายมัลแวร์

มีการพบการโจมตีแบบ ClickFix หลายรูปแบบ โดย Hacker จะหลอกผู้ใช้ด้วยภาพเคลื่อนไหวของ Windows Update ที่ดูเหมือนจริงในหน้าเบราว์เซอร์แบบ full-screen และซ่อนคำสั่งอันตรายไว้ในรูปภาพ

ClickFix เป็นการโจมตีแบบ Social-Engineering ที่ผู้ใช้ถูกหลอกให้วาง และรันโค้ด หรือคำสั่งใน Command Prompt ของ Windows ซึ่งนำไปสู่การเรียกใช้มัลแวร์บนระบบ

การโจมตีแบบ ClickFix ได้รับความนิยมอย่างแพร่หลายในกลุ่ม Hacker ในทุกระดับ เนื่องจากมีประสิทธิภาพสูง และได้รับการพัฒนาอย่างต่อเนื่อง โดยมีวิธีการที่มีการพัฒนา และซับซ้อนในการหลอกลวงมากขึ้นเรื่อย ๆ

Fullscreen Browser Page

ตั้งแต่วันที่ 1 ตุลาคม 2025 นักวิจัยได้พบการโจมตีแบบ ClickFix ที่แสดงการแจ้งเตือนปลอมเป็นการติดตั้งการอัปเดตความปลอดภัยบน Windows ให้เสร็จสมบูรณ์ และหน้าแจ้งเตือน "human verification" ซึ่งมักพบได้บ่อย

หน้าอัปเดตปลอมจะสั่งให้เหยื่อกดปุ่มเฉพาะตามลำดับที่กำหนด ซึ่งจะวาง และรันคำสั่งจาก Hacker ที่คัดลอกไปยัง clipboard โดยอัตโนมัติผ่าน JavaScript ที่ทำงานบนเว็บไซต์

รายงานจาก Huntress ผู้ให้บริการด้านความปลอดภัยระบุว่า ClickFix เวอร์ชันใหม่นี้ ได้ฝังโปรแกรมอันตราย ได้แก่ LummaC2 และ Rhadamanthys info stealers

การโจมตีมีหลายรูปแบบ เช่น การใช้ใบหน้ายืนยันตัวตน ในขณะที่อีกรูปแบบหนึ่งใช้หน้าจอ Windows Update ปลอม

อย่างไรก็ตาม การโจมตีทั้งสองกรณี Hacker ใช้การซ่อนข้อมูล (steganography) เพื่อเข้ารหัสเพย์โหลดมัลแวร์ในขั้นตอนสุดท้ายภายในรูปภาพ

นักวิจัยของ Huntress อธิบายว่า "แทนที่จะผนวกข้อมูลที่เป็นอันตรายลงในไฟล์เพียงอย่างเดียว โค้ดที่เป็นอันตรายจะถูกเข้ารหัสโดยตรงภายในข้อมูลพิกเซลของรูปภาพ PNG โดยอาศัยช่องสีเฉพาะเพื่อสร้าง และถอดรหัสเพย์โหลดในหน่วยความจำ"

การติดตั้งเพย์โหลดสุดท้ายเริ่มต้นด้วยการใช้ไบนารี mshta ของ Windows เพื่อรันโค้ด JavaScript ที่เป็นอันตราย

กระบวนการทั้งหมดประกอบด้วยหลายขั้นตอนที่ใช้โค้ด PowerShell และ .NET assembly (the Stego Loader) ซึ่งรับผิดชอบในการสร้างเพย์โหลดสุดท้ายที่ฝังอยู่ในไฟล์ PNG ในสถานะเข้ารหัส

โดยภายใน manifest resources ของ Stego Loader มี blob ที่เข้ารหัส AES ซึ่งจริง ๆ แล้วเป็นไฟล์ steganographic PNG file ซึ่งประกอบด้วย shellcode ที่ถูกสร้างขึ้นใหม่โดยใช้โค้ด C# ที่สร้างขึ้นมาเอง

นักวิจัยของ Huntress พบว่า Hacker ใช้วิธีการหลบเลี่ยงการตรวจจับแบบไดนามิก ซึ่งมักเรียกว่า ctrampoline โดยเมื่อ entry point function ใช้งาน จะเริ่มเรียกใช้ empty functions 10,000 ฟังก์ชัน

shellcode ที่เก็บตัวอย่าง infostealer จะถูกแยกออกมาจากรูปภาพที่เข้ารหัส และถูกแพ็กโดยใช้เครื่องมือ Donut ซึ่งช่วยให้สามารถรันไฟล์ VBScript, JScript, EXE, DLL และแอสเซมบลี .NET ในหน่วยความจำได้

หลังจากแกะแพ็กเกจดังกล่าวแล้ว นักวิจัยของ Huntress สามารถดึงมัลแวร์ออกมาได้ ซึ่งก็คือ LummaC2 และ Rhadamanthys

นักวิจัยพบมัลแวร์ Rhadamanthys ที่ใช้ Windows Update ในการโจมตีครั้งแรกในเดือนตุลาคม 2025 ก่อนที่จะถูกปฏิบัติการ Operation Endgame ตรวจจับ และโดนทำลายโครงสร้างพื้นฐานบางส่วนในวันที่ 13 พฤศจิกายน 2025

Huntress การดำเนินการบังคับใช้กฎหมายส่งผลให้ข้อมูลไม่ได้ถูกส่งไปที่โดเมน Windows Update ปลอมอีกต่อไป ซึ่งยังคงใช้งานได้อยู่

เพื่อความปลอดภัยจากการโจมตี ClickFix ประเภทนี้ นักวิจัยแนะนำให้ปิดการใช้งาน Windows Run box และตรวจหา Process ที่น่าสงสัย เช่น explorer.

พบการโจมตี “ClickFix” แบบใหม่ที่มุ่งเป้าไปที่ผู้ใช้ Windows และ macOS เพื่อฝังมัลแวร์ Infostealer

เทคนิค Social Engineering ที่กำลังเพิ่มขึ้นอย่างรวดเร็วที่เรียกว่า ClickFix กลายเป็นหนึ่งในวิธีการที่ประสบความสำเร็จมากที่สุดในการแพร่กระจายมัลแวร์ในช่วงไม่กี่เดือนที่ผ่านมา

(more…)

การโจมตีด้วยมัลแวร์ ClickFix พัฒนาให้รองรับหลายระบบปฏิบัติการ พร้อมวิดีโอสอนการโจมตี

การโจมตีแบบ ClickFix มีการพัฒนาไปสู่รูปแบบที่ซับซ้อนยิ่งขึ้น โดยใช้วิดีโอสาธิตขั้นตอนให้เหยื่อติดตั้งมัลแวร์ด้วยตัวเอง มีตัวจับเวลานับถอยหลังเพื่อกดดันให้เหยื่อรีบปฏิบัติตามคำสั่ง และสามารถตรวจจับระบบปฏิบัติการของเครื่องเป้าหมายโดยอัตโนมัติเพื่อแสดงคำสั่งที่เหมาะสมได้อย่างแม่นยำ

(more…)

โฆษณา Google นำผู้เข้าชมไปยังเว็บไซต์ปลอมของ Homebrew และ LogMeIn ที่ฝังมัลแวร์ขโมยข้อมูล

แคมเปญอันตรายรูปแบบใหม่กำลังมุ่งเป้าไปที่นักพัฒนาบน macOS โดยใช้เว็บไซต์ปลอมของ Homebrew, LogMeIn และ TradingView เพื่อแพร่กระจายมัลแวร์ขโมยข้อมูล เช่น AMOS (Atomic macOS Stealer) และ Odyssey (more…)

Microsoft แจ้งเตือนแฮ็กเกอร์กำลังใช้เทคนิค ClickFix โจมตีอุปกรณ์ Windows และ macOS

นักวิจัยด้านความปลอดภัยไซเบอร์ได้ค้นพบเทคนิค Social Engineering ที่ชื่อว่า ClickFix ซึ่งได้รับความนิยมอย่างรวดเร็วในหมู่ผู้โจมตีตั้งแต่ต้นปี 2024

การโจมตีนี้มีเป้าหมายทั้งอุปกรณ์ Windows และ macOS โดยหลอกให้ผู้ใช้รันคำสั่งที่เป็นอันตรายผ่านขั้นตอนการแก้ไขปัญหาทางเทคนิคที่ดูเหมือนถูกต้องตามปกติ (more…)