กลุ่ม LeakNet ransomware กำลังใช้เทคนิค ClickFix เพื่อข้าสู่ระบบเครือข่ายขององค์กร และใช้ loader มัลแวร์ที่พัฒนาขึ้นจาก Deno ซึ่งเป็น Open-source runtime สำหรับ JavaScript และ TypeScript โดยผู้โจมตีใช้ Deno ที่ถูกต้องในการถอดรหัส และเรียกใช้เพย์โหลดโดยตรงไปยัง memory ของระบบ เพื่อทำลายหลักฐานบนดิสก์ และหลีกเลี่ยงการตรวจจับ
(more…)
นักวิจัยได้เผยแพร่การค้นพบกลุ่ม Ransomware ในชื่อ Velvet Tempest ได้ใช้เทคนิคการโจมตีแบบ ClickFix และ Windows utility ในการติดตั้ง DonutLoader malware และ CastleRAT backdoor (more…)
เมื่อวันพฤหัสบดีที่ผ่านมา (5 มีนาคม 2026) Microsoft ได้เปิดเผยรายละเอียดเกี่ยวกับ social engineering campaign แบบ ClickFix รูปแบบใหม่ที่กำลังแพร่ระบาด ซึ่งใช้แอปพลิเคชัน Windows Terminal เป็นช่องทางในการเริ่ม Attack Chain ที่ซับซ้อนเพื่อติดตั้งมัลแวร์ Lumma Stealer
กิจกรรมดังกล่าว ถูกพบในช่วงเดือนกุมภาพันธ์ 2026 โดยจุดที่น่าสังเกตในครั้งนี้ คือการใช้โปรแกรมจำลอง Terminal แทนที่จะแนะนำให้ผู้ใช้เปิดหน้าต่าง Windows Run และวางคำสั่งลงไป
(more…)
กลุ่มผู้ไม่หวังดีกำลังใช้วิธีส่งคำสั่งผ่าน DNS queries ซึ่งเป็นส่วนหนึ่งของการโจมตีแบบ ClickFix Social Engineering เพื่อแพร่กระจายมัลแวร์ ถือเป็นครั้งแรกที่มีการตรวจพบการใช้ DNS เป็นช่องทางหลักในแคมเปญลักษณะนี้
(more…)
มีการพบการโจมตีแบบ ClickFix หลายรูปแบบ โดย Hacker จะหลอกผู้ใช้ด้วยภาพเคลื่อนไหวของ Windows Update ที่ดูเหมือนจริงในหน้าเบราว์เซอร์แบบ full-screen และซ่อนคำสั่งอันตรายไว้ในรูปภาพ
ClickFix เป็นการโจมตีแบบ Social-Engineering ที่ผู้ใช้ถูกหลอกให้วาง และรันโค้ด หรือคำสั่งใน Command Prompt ของ Windows ซึ่งนำไปสู่การเรียกใช้มัลแวร์บนระบบ
การโจมตีแบบ ClickFix ได้รับความนิยมอย่างแพร่หลายในกลุ่ม Hacker ในทุกระดับ เนื่องจากมีประสิทธิภาพสูง และได้รับการพัฒนาอย่างต่อเนื่อง โดยมีวิธีการที่มีการพัฒนา และซับซ้อนในการหลอกลวงมากขึ้นเรื่อย ๆ
Fullscreen Browser Page
ตั้งแต่วันที่ 1 ตุลาคม 2025 นักวิจัยได้พบการโจมตีแบบ ClickFix ที่แสดงการแจ้งเตือนปลอมเป็นการติดตั้งการอัปเดตความปลอดภัยบน Windows ให้เสร็จสมบูรณ์ และหน้าแจ้งเตือน "human verification" ซึ่งมักพบได้บ่อย
หน้าอัปเดตปลอมจะสั่งให้เหยื่อกดปุ่มเฉพาะตามลำดับที่กำหนด ซึ่งจะวาง และรันคำสั่งจาก Hacker ที่คัดลอกไปยัง clipboard โดยอัตโนมัติผ่าน JavaScript ที่ทำงานบนเว็บไซต์
รายงานจาก Huntress ผู้ให้บริการด้านความปลอดภัยระบุว่า ClickFix เวอร์ชันใหม่นี้ ได้ฝังโปรแกรมอันตราย ได้แก่ LummaC2 และ Rhadamanthys info stealers
การโจมตีมีหลายรูปแบบ เช่น การใช้ใบหน้ายืนยันตัวตน ในขณะที่อีกรูปแบบหนึ่งใช้หน้าจอ Windows Update ปลอม
อย่างไรก็ตาม การโจมตีทั้งสองกรณี Hacker ใช้การซ่อนข้อมูล (steganography) เพื่อเข้ารหัสเพย์โหลดมัลแวร์ในขั้นตอนสุดท้ายภายในรูปภาพ
นักวิจัยของ Huntress อธิบายว่า "แทนที่จะผนวกข้อมูลที่เป็นอันตรายลงในไฟล์เพียงอย่างเดียว โค้ดที่เป็นอันตรายจะถูกเข้ารหัสโดยตรงภายในข้อมูลพิกเซลของรูปภาพ PNG โดยอาศัยช่องสีเฉพาะเพื่อสร้าง และถอดรหัสเพย์โหลดในหน่วยความจำ"
การติดตั้งเพย์โหลดสุดท้ายเริ่มต้นด้วยการใช้ไบนารี mshta ของ Windows เพื่อรันโค้ด JavaScript ที่เป็นอันตราย
กระบวนการทั้งหมดประกอบด้วยหลายขั้นตอนที่ใช้โค้ด PowerShell และ .NET assembly (the Stego Loader) ซึ่งรับผิดชอบในการสร้างเพย์โหลดสุดท้ายที่ฝังอยู่ในไฟล์ PNG ในสถานะเข้ารหัส
โดยภายใน manifest resources ของ Stego Loader มี blob ที่เข้ารหัส AES ซึ่งจริง ๆ แล้วเป็นไฟล์ steganographic PNG file ซึ่งประกอบด้วย shellcode ที่ถูกสร้างขึ้นใหม่โดยใช้โค้ด C# ที่สร้างขึ้นมาเอง
นักวิจัยของ Huntress พบว่า Hacker ใช้วิธีการหลบเลี่ยงการตรวจจับแบบไดนามิก ซึ่งมักเรียกว่า ctrampoline โดยเมื่อ entry point function ใช้งาน จะเริ่มเรียกใช้ empty functions 10,000 ฟังก์ชัน
shellcode ที่เก็บตัวอย่าง infostealer จะถูกแยกออกมาจากรูปภาพที่เข้ารหัส และถูกแพ็กโดยใช้เครื่องมือ Donut ซึ่งช่วยให้สามารถรันไฟล์ VBScript, JScript, EXE, DLL และแอสเซมบลี .NET ในหน่วยความจำได้
หลังจากแกะแพ็กเกจดังกล่าวแล้ว นักวิจัยของ Huntress สามารถดึงมัลแวร์ออกมาได้ ซึ่งก็คือ LummaC2 และ Rhadamanthys
นักวิจัยพบมัลแวร์ Rhadamanthys ที่ใช้ Windows Update ในการโจมตีครั้งแรกในเดือนตุลาคม 2025 ก่อนที่จะถูกปฏิบัติการ Operation Endgame ตรวจจับ และโดนทำลายโครงสร้างพื้นฐานบางส่วนในวันที่ 13 พฤศจิกายน 2025
Huntress การดำเนินการบังคับใช้กฎหมายส่งผลให้ข้อมูลไม่ได้ถูกส่งไปที่โดเมน Windows Update ปลอมอีกต่อไป ซึ่งยังคงใช้งานได้อยู่
เพื่อความปลอดภัยจากการโจมตี ClickFix ประเภทนี้ นักวิจัยแนะนำให้ปิดการใช้งาน Windows Run box และตรวจหา Process ที่น่าสงสัย เช่น explorer.
เทคนิค Social Engineering ที่กำลังเพิ่มขึ้นอย่างรวดเร็วที่เรียกว่า ClickFix กลายเป็นหนึ่งในวิธีการที่ประสบความสำเร็จมากที่สุดในการแพร่กระจายมัลแวร์ในช่วงไม่กี่เดือนที่ผ่านมา
(more…)
การโจมตีแบบ ClickFix มีการพัฒนาไปสู่รูปแบบที่ซับซ้อนยิ่งขึ้น โดยใช้วิดีโอสาธิตขั้นตอนให้เหยื่อติดตั้งมัลแวร์ด้วยตัวเอง มีตัวจับเวลานับถอยหลังเพื่อกดดันให้เหยื่อรีบปฏิบัติตามคำสั่ง และสามารถตรวจจับระบบปฏิบัติการของเครื่องเป้าหมายโดยอัตโนมัติเพื่อแสดงคำสั่งที่เหมาะสมได้อย่างแม่นยำ
(more…)
แคมเปญอันตรายรูปแบบใหม่กำลังมุ่งเป้าไปที่นักพัฒนาบน macOS โดยใช้เว็บไซต์ปลอมของ Homebrew, LogMeIn และ TradingView เพื่อแพร่กระจายมัลแวร์ขโมยข้อมูล เช่น AMOS (Atomic macOS Stealer) และ Odyssey (more…)
นักวิจัยด้านความปลอดภัยไซเบอร์ได้ค้นพบเทคนิค Social Engineering ที่ชื่อว่า ClickFix ซึ่งได้รับความนิยมอย่างรวดเร็วในหมู่ผู้โจมตีตั้งแต่ต้นปี 2024
การโจมตีนี้มีเป้าหมายทั้งอุปกรณ์ Windows และ macOS โดยหลอกให้ผู้ใช้รันคำสั่งที่เป็นอันตรายผ่านขั้นตอนการแก้ไขปัญหาทางเทคนิคที่ดูเหมือนถูกต้องตามปกติ (more…)
ในช่วงไม่กี่เดือนที่ผ่านมา นักวิจัยด้านความปลอดภัยได้ตรวจพบแคมเปญ Phishing รูปแบบใหม่ที่มุ่งเป้าไปยังผู้ใช้ macOS โดยแฝงตัวมาในรูปแบบกระบวนการยืนยันตัวตนด้วย CAPTCHA
(more…)