แคมเปญการโจมตีแบบ Phishing ขนาดใหญ่ ที่มุ่งเป้าไปยังการแข่งขันฟุตบอลโลก 2026 (FIFA World Cup) ได้ขยายขนาดไปไกลเกินกว่าที่นักวิจัยด้านความปลอดภัยประเมินไว้ในเบื้องต้น จากเดิมที่มีการบันทึกข้อมูลชุดโดเมนที่เป็นอันตรายจำนวน 79 โดเมน ปัจจุบันได้ขยายตัวอย่างรวดเร็ว (more…)

มีการค้นพบมัลแวร์ตัวใหม่บนระบบปฏิบัติการ Android ชื่อ 'DevilNFC' ซึ่งทำงานโดยการผสานวิธีการโจมตีแบบ NFC relay ร่วมกับการใช้ Kiosk Mode เพื่อล็อกหน้าจอของเหยื่อให้อยู่ในหน้าต่างแอปธนาคารปลอม จนกว่าข้อมูลบัตรเครดิต หรือบัตรเดบิตจะถูกขโมยไปสำเร็จ

(more…)

ชุดเครื่องมือ Phishing Tycoon2FA ในปัจจุบัน รองรับการโจมตีแบบ Device-Code แล้ว และมีการใช้ประโยชน์จาก URL ติดตามการคลิกของ Trustifi เพื่อแฮ็กบัญชี Microsoft 365 (more…)

Trojan ใหม่ชื่อ TCLBanker ซึ่งมุ่งเป้าการโจมตีไปที่แพลตฟอร์มธนาคาร, Fintech และ Cryptocurrency ถึง 59 แห่ง โดยอาศัยตัวติดตั้ง MSI ของโปรแกรม Logitech AI Prompt Builder ที่ถูกฝังมัลแวร์ไว้เพื่อแพร่กระจายมัลแวร์เข้าสู่ระบบ

นอกจากนี้ มัลแวร์ยังมี Worm modules ที่สามารถแพร่กระจายตัวเองผ่านทาง WhatsApp และ Outlook เพื่อโจมตีเหยื่อรายใหม่ได้โดยอัตโนมัติ

Trojan ที่โจมตีระบบธนาคารใหม่นี้ถูกค้นพบโดย Elastic Security Labs โดยทีมนักวิจัยเชื่อว่ามันเป็นการพัฒนาต่อยอดครั้งสำคัญจากตระกูลมัลแวร์รุ่นเก่าอย่าง Maverick/Sorvepotel

แม้ว่าในปัจจุบัน TCLBanker จะดูเหมือนมุ่งเป้าไปที่ประเทศบราซิลเป็นหลัก แต่มัลแวร์จากกลุ่มประเทศละตินอเมริกา (LATAM) ในอดีตก็เคยมีการอัปเดตเพื่อขยายเป้าหมายการโจมตีมาแล้ว ดังนั้นความเสี่ยงที่ภัยคุกคามนี้จะขยายตัวลุกลามไปยังพื้นที่อื่นจึงมีอยู่จริง

ความสามารถของ TCLBanker

Elastic เตือนว่า TCLBanker มีระบบป้องกันการถูกวิเคราะห์ และการทำ Debugging ที่แน่นหนามาก โดยใช้กระบวนการถอดรหัส Payload ที่อิงตามสภาพแวดล้อม ซึ่งจะหยุดทำงานทันทีหากอยู่ในระบบ Sandbox หรือสภาพแวดล้อมของนักวิเคราะห์

นอกจากนี้ มัลแวร์ยังรัน Thread แบบ Watchdog ที่ทำงานแฝงตัวอยู่ตลอดเวลา เพื่อคอยสอดส่อง และตรวจจับเครื่องมือวิเคราะห์ต่าง ๆ อย่างต่อเนื่อง เช่น x64dbg, IDA, dnSpy, Frida, ProcessHacker, Ghidra, de4dot และโปรแกรมอื่น ๆ

มัลแวร์ตัวนี้จะถูกโหลดขึ้นมาทำงานภายใต้การทำงานของแอปพลิเคชัน Logitech ที่ถูกต้อง ผ่านเทคนิค DLL Side-loading ดังนั้นมันจึงไม่ไปกทำให้เกิดการแจ้งเตือนใด ๆ จากโปรแกรมรักษาความปลอดภัยที่ปกป้องเครื่องคอมพิวเตอร์ที่ติดมัลแวร์อยู่

นักวิจัยตั้งข้อสังเกตว่า แม้ตัว Loader ของมัลแวร์จะมีฟีเจอร์การทำงานที่หลากหลาย แต่ก็ไม่มีฟีเจอร์ใดที่มีความซับซ้อนขั้นสูงอย่างแท้จริง และจากร่องรอยในโค้ดก็แสดงให้เห็นว่าอาจมีการนำ AI มาช่วยในการพัฒนามัลแวร์ตัวนี้ด้วย

สำหรับ Module ที่ใช้ในการโจมตีระบบธนาคาร มันจะคอยตรวจสอบ Address bar ของ Browser ในทุก ๆ วินาที โดยอาศัย Windows UI Automation API เพื่อเฝ้าดูว่าเหยื่อได้เปิดเว็บไซต์ใดเว็บไซต์หนึ่งจาก 59 แพลตฟอร์มที่เป็นเป้าหมายหรือไม่

เมื่อเหตุการณ์นั้นเกิดขึ้น มันจะสร้างการเชื่อมต่อ WebSocket session กับเซิร์ฟเวอร์ Command-and-Control (C2) ทำการส่งข้อมูลของเหยื่อ และข้อมูลระบบกลับไป จากนั้นจะเริ่มกระบวนการควบคุมระบบจากระยะไกล

โดยความสามารถที่แฮ็กเกอร์ สามารถสั่งการได้นั้น ประกอบไปด้วย

การสตรีมหน้าจอแบบ Real-time
การจับภาพหน้าจอ
การดักจับข้อมูลการกด Keyboard
การขโมยข้อมูลที่คัดลอกไว้ใน Clipboard
การรันคำสั่งระบบผ่าน Shell command
การจัดการหน้าต่างโปรแกรม
การเข้าถึงระบบไฟล์
การตรวจสอบ และแสดงรายการโปรเซสที่กำลังทำงาน
การควบคุม Mouse และ Keyboard จากระยะไกล

ในระหว่างที่มี Sessions การทำงาน โปรเซส Task Manager จะถูกสั่งปิดเพื่อป้องกันไม่ให้ผู้ใช้เข้ามาขัดจังหวะ และเพื่อซ่อนกิจกรรมที่เป็นอันตรายไม่ให้เหยื่อสังเกตเห็น

เพื่อช่วยในการขโมยข้อมูล TCLBanker จะใช้ระบบ Overlay ที่ทำงานบนพื้นฐานของ WPF ซึ่งสามารถแสดงหน้าต่างปลอมต่าง ๆ เพื่อหลอกลวงเหยื่อได้ เช่น หน้าต่างแจ้งให้กรอกข้อมูล Credential ปลอม, Keypads สำหรับกดรหัส PIN, แบบฟอร์มเก็บข้อมูลเบอร์โทรศัพท์, หน้าจอรอรับการช่วยเหลือจากฝ่ายสนับสนุนของธนาคารปลอม, หน้าจอการอัปเดต Windows ปลอม และหน้าจอแสดงความคืบหน้าปลอมในรูปแบบต่าง ๆ

นอกจากนี้ ยังมีการใช้ Overlays แบบ Cutout ที่จะแสดงทับอยู่ด้านบนสุดเสมอ โดยจะยอมให้เหยื่อมองเห็นเฉพาะบางส่วนของแอปพลิเคชันจริงที่ถูกเลือกไว้เท่านั้น ในขณะที่ส่วนอื่น ๆ จะถูกบดบังเอาไว้

Worms บน WhatsApp และ Outlook

สิ่งที่น่าสนใจอีกอย่างหนึ่งของ TCLBanker คือความสามารถในการแพร่กระจายตัวเองได้โดยอัตโนมัติไปยังรายชื่อผู้ติดต่อที่เชื่อมโยงกับเหยื่อรายแรก

มัลแวร์ตัวนี้จะค้นหาโปรไฟล์ของ Browser ตระกูล Chromium เพื่อหาข้อมูล IndexedDB ของ WhatsApp Web ที่มีการเข้าสู่ระบบค้างไว้ จากนั้นจะสั่งรันหน้าต่าง Chromium แบบซ่อนตัวขึ้นมาเพื่อทำการยึดบัญชีของเหยื่อ

จากนั้น มันจะรวบรวมรายชื่อผู้ติดต่อ ทำการคัดกรองเอาเฉพาะเบอร์โทรศัพท์ของประเทศบราซิล และส่งข้อความสแปมไปหาคนเหล่านั้นจากบัญชีของเหยื่อ เพื่อหลอกล่อให้เป้าหมายให้กดเข้าไปยังแพลตฟอร์มที่ใช้สำหรับแพร่กระจายมัลแวร์ TCLBanker

ส่วน Worm module อีกตัวหนึ่งจะโจมตี Microsoft Outlook ผ่านระบบ COM automation โดยจะสั่งเปิดแอปพลิเคชัน เพื่อรวบรวมรายชื่อผู้ติดต่อรวมถึง email address ของผู้ส่ง แล้วทำการส่งอีเมล Phishing ออกไปโดยใช้บัญชีอีเมลของเหยื่อ

Elastic สรุปทิ้งท้ายว่า TCLBanker ถือเป็นตัวอย่างที่ชัดเจนที่แสดงให้เห็นถึงวิวัฒนาการของมัลแวร์ในกลุ่มประเทศละตินอเมริกา (LATAM) ซึ่งมีฟีเจอร์การโจมตีต่าง ๆ ให้กับอาชญากรทางไซเบอร์ระดับล่าง จากที่ในอดีตฟีเจอร์เหล่านี้จะมีให้ใช้งานเฉพาะในเครื่องมือที่มีความซับซ้อนขั้นสูงเท่านั้น

 

ที่มา : bleepingcomputer.

แคมเปญ Phishing ขนาดใหญ่ได้มีการกำหนดเป้าหมายไปยังองค์กรต่าง ๆ ทั่วสหรัฐอเมริกาอย่างเงียบ ๆ โดยการใช้การเชิญร่วมงานปลอมเป็นเหยื่อล่อ แทนที่จะเป็นการส่งไฟล์แนบที่น่าสงสัย หรือลิงก์หลอกลวงที่ชัดเจน ผู้โจมตีล่อลวงเหยื่อด้วยสิ่งที่ดูเหมือนจะเป็นการเชิญร่วมงานเลี้ยง หรืองานสังสรรค์ที่ถูกต้องตามกฎหมาย

เมื่อคลิกลิงก์เหล่านั้น จะนำไปยังหน้าเว็บที่ออกแบบมาเพื่อขโมยข้อมูลการเข้าสู่ระบบ ดักจับรหัสผ่านแบบ OTP หรือติดตั้งซอฟต์แวร์การจัดการจากระยะไกล

สิ่งที่ทำให้แคมเปญนี้โดดเด่นคือขั้นตอนเริ่มต้นที่ดูธรรมดามาก เหยื่อได้รับคำเชิญ คลิกที่ลิงก์ ผ่านการตรวจสอบ CAPTCHA และเห็นหน้ากิจกรรมที่ตกแต่งอย่างสวยงาม ไม่มีอะไรเกี่ยวกับขั้นตอนนั้นที่ทำให้เกิดความกังวล และนั่นคือประเด็นสำคัญ กว่าที่อันตรายจริง ๆ จะเกิดขึ้น ไม่ว่าจะเป็นรหัสผ่านที่ถูกขโมย หรือเครื่องมือเข้าถึงจากระยะไกลที่ทำงานอย่างเงียบ ๆ อยู่เบื้องหลัง การโจมตีนั้นก็ได้ดำเนินไปแล้ว

นักวิจัยที่ ANY.RUN เป็นกลุ่มแรก ๆ ที่ได้บันทึกขอบเขตทั้งหมดของการปฏิบัติการนี้ เมื่อวันที่ 22 เมษายน 2026 นักวิเคราะห์ได้ระบุถึงแคมเปญ Phishing ที่กำหนดเป้าหมายไปยัง email service credentials โดยในบางกรณียังมีการส่งซอฟต์แวร์การจัดการจากระยะไกลอีกด้วย ภายในวันที่ 27 เมษายน ลิงก์ที่น่าสงสัยเกือบ 160 ลิงก์ได้ถูกส่งไปยัง sandbox ของ ANY.RUN พร้อมกับโดเมน Phishing ที่ถูกระบุได้ประมาณ 80 โดเมน ซึ่งส่วนใหญ่จดทะเบียนภายใต้โดเมนระดับบนสุด .de โดยเริ่มต้นตั้งแต่เดือนธันวาคม 2025

อุตสาหกรรมที่ได้รับผลกระทบมากที่สุดประกอบด้วย การศึกษา, การธนาคาร, รัฐบาล, เทคโนโลยี และการดูแลสุขภาพ ภาคส่วนเหล่านี้พึ่งพาการเข้าถึงอีเมล และเครื่องมือบริหารจัดการจากระยะไกลอย่างมาก ซึ่งทำให้เป็นเป้าหมายที่น่าดึงดูดสำหรับผู้โจมตีที่ต้องการจะแฝงตัวเข้าไป การขโมยข้อมูลการเข้าสู่ระบบ และ OTP ในสภาพแวดล้อมใด ๆ เหล่านี้ สามารถเปิดประตูไปได้ไกลเกินกว่า Email box เพียงอย่างเดียว

แคมเปญนี้ยังแสดงสัญญาณของการสร้างเพื่อการขยายขนาด ผู้โจมตีดูเหมือนจะใช้ชุดเครื่องมือ Phishing ที่นำกลับมาใช้ใหม่ได้ เพื่อสร้างไซต์ล่อลวงในธีมกิจกรรมใหม่ ๆ ได้อย่างรวดเร็ว องค์ประกอบบางอย่างของหน้าเว็บมีร่องรอยของการสร้างเนื้อหาโดยใช้ AI ช่วย ซึ่งหมายความว่าพื้นที่การโจมตีสามารถขยายตัวได้อย่างรวดเร็ว ในขณะที่โครงสร้างพื้นฐานยังคงมีความสม่ำเสมอเพียงพอที่จะตรวจจับได้

การโจมตีแบบ Phishing ที่เปลี่ยนการเชิญร่วมงานให้กลายเป็นอาวุธ

การโจมตีเริ่มต้นด้วยลิงก์คำเชิญง่าย ๆ หลังจากคลิกแล้ว เหยื่อจะถูกนำผ่านการตรวจสอบ CAPTCHA ซึ่งส่วนใหญ่มักจะให้บริการผ่าน Cloudflare ซึ่งทำให้หน้ามีลักษณะของความน่าเชื่อถือ

ในเวอร์ชันที่ใช้ในการขโมยข้อมูล credentials หน้าเว็บจะแสดงหน้าต่างแจ้งการลงชื่อเข้าใช้ และขอให้ผู้ใช้ล็อกอินด้วยบริการอีเมลที่พวกเขาเลือก เมื่อมีใครบางคนเลือก Google พวกเขาจะถูกเปลี่ยนเส้นทางไปยังฟอร์มของ Google ปลอมที่ดูน่าเชื่อถือ ข้อมูล credentials จะถูกส่งผ่าน POST request ไปยัง server endpoints ซึ่งรวมถึง /pass[.]php และ /mlog[.]php

สำหรับบริการอื่น ๆ ทั้งหมด หน้าเว็บจะเก็บรวบรวมอีเมล และรหัสผ่าน จากนั้นจะแสดงข้อความ “รหัสผ่านไม่ถูกต้อง” อย่างจงใจ เพื่อให้ผู้ใช้กรอกรายละเอียดของพวกเขาเป็นครั้งที่สอง โดยจะดักจับข้อมูลจากการพยายามทั้งสองครั้ง เมื่อผู้ใช้ส่งรหัส OTP รหัสนั้นก็จะถูกส่งต่อไปยังผู้โจมตีอย่างเงียบ ๆ เช่นกัน

ในเวอร์ชันการส่งซอฟต์แวร์จัดการจากระยะไกล หน้าคำเชิญปลอมจะเริ่มต้นการดาวน์โหลดเครื่องมือที่ถูกต้อง เช่น ScreenConnect, ITarian, Datto RMM, ConnectWise หรือ LogMeIn Rescue บางหน้าจะมีปุ่มดาวน์โหลด ในขณะที่หน้าอื่น ๆ จะเริ่มการดาวน์โหลดโดยอัตโนมัติโดยไม่ต้องมีการดำเนินการใด ๆ เพิ่มเติม เนื่องจากสิ่งเหล่านี้เป็นเครื่องมือจริงที่ใช้กันอย่างแพร่หลาย ซอฟต์แวร์ความปลอดภัยอาจไม่ถือว่าการติดตั้งนี้เป็นภัยคุกคาม

วิธีที่ทีมรักษาความปลอดภัยสามารถลดความเสี่ยงได้

ทีมรักษาความปลอดภัยสามารถใช้รูปแบบโครงสร้างพื้นฐานที่ใช้ร่วมกันเพื่อตามหาโดเมนที่เกี่ยวข้องก่อนที่เหตุการณ์จะเกิดขึ้น

หน้า phishing ทั้งหมดในแคมเปญนี้เป็นไปตาม request chain ที่คาดเดาได้ ได้แก่: GET request ไปยัง root, ตามด้วยการ request ไปยัง /favicon.

พบการนำระบบการแจ้งเตือนการเปลี่ยนแปลงข้อมูลบัญชีของ Apple มาใช้ในทางที่ผิด เพื่อส่งอีเมลหลอกลวงเกี่ยวกับการซื้อ iPhone ปลอม โดยแฝงมาในอีเมลที่ดูเหมือนถูกต้องตามปกติ ซึ่งส่งมาจากเซิร์ฟเวอร์ของ Apple ทำให้ดูน่าเชื่อถือมากขึ้น และอาจทำให้สามารถ bypass อุปกรณ์ป้องกันสแปมได้ (more…)

ผู้โจมตีกำลังมุ่งเป้าไปที่บัญชี TikTok for Business ในแคมเปญฟิชชิ่งที่ป้องกันไม่ให้บอทของอุปกรณ์ด้านความปลอดภัยทำการวิเคราะห์หน้าเว็บที่เป็นอันตรายได้

(more…)

 

การแจ้งเตือนของ Microsoft Azure Monitor กำลังถูกนำไปใช้เป็นช่องทางในการส่งอีเมลฟิชชิ่งแบบหลอกให้โทรกลับ (Callback Phishing) ซึ่งอีเมลเหล่านี้จะแอบอ้างว่าเป็นคำเตือนจาก Microsoft Security Team เกี่ยวกับการเรียกเก็บค่าใช้จ่ายที่ไม่ได้รับอนุญาตในบัญชี

Azure Monitor คือบริการตรวจสอบบนระบบคลาวด์ของ Microsoft ที่ทำหน้าที่รวบรวม และวิเคราะห์ข้อมูลจากทรัพยากร, แอปพลิเคชัน และโครงสร้างพื้นฐานของ Azure โดยช่วยให้ผู้ใช้งานสามารถติดตามประสิทธิภาพการทำงาน แจ้งเตือนด้านการเงินเกี่ยวกับการเรียกเก็บค่าใช้จ่าย และตรวจสอบปัญหา รวมไปถึงตั้งค่าให้ส่งการแจ้งเตือนตามเงื่อนไขต่าง ๆ ที่กำหนดไว้ได้

ในช่วงเดือนที่ผ่านมา มีรายงานจากผู้ใช้จำนวนมากว่าได้รับข้อความแจ้งเตือนจาก Azure Monitor เกี่ยวกับการเรียกเก็บเงินที่น่าสงสัย หรือความผิดปกติในใบแจ้งหนี้ของบัญชี โดยในข้อความมีการให้ผู้รับโทรติดต่อไปยังหมายเลขโทรศัพท์ที่แนบมาในอีเมลดังกล่าว

ข้อความแจ้งเตือนการเรียกเก็บเงินปลอมระบุว่า "คำอธิบายการแจ้งเตือน: ประกาศเกี่ยวกับความปลอดภัยของบัญชี และการเรียกเก็บเงินของ MICROSOFT CORPORATION (อ้างอิง: MS-FRA-6673829-KP) ระบบตรวจพบการเรียกเก็บเงินที่อาจไม่ได้รับอนุญาตในบัญชีของคุณ รายละเอียดธุรกรรม: Merchant: Windows Defender, รหัสธุรกรรม: PP456-887A-22B, จำนวนเงิน: 389.90 USD, วันที่: 03/05/2026"

เพื่อความปลอดภัยของคุณ ธุรกรรมนี้ได้ถูกระงับไว้ชั่วคราวจากทีมตรวจสอบการทุจริต เพื่อป้องกันการถูกระงับบัญชี หรือมีค่าธรรมเนียมเพิ่มเติมที่อาจเกิดขึ้น โปรดตรวจสอบธุรกรรมนี้โดยทันที หากคุณไม่ได้เป็นผู้อนุมัติการชำระเงินนี้ โปรดติดต่อฝ่ายสนับสนุนความปลอดภัยบัญชีของ Microsoft ได้ตลอด 24 ชั่วโมงที่เบอร์ +1 (864) 347-2494 หรือ +1 (864) 347-4846

ขออภัยในความไม่สะดวกมา ณ ที่นี้ และขอขอบคุณสำหรับการตอบกลับอย่างรวดเร็ว จากทีมความปลอดภัยบัญชี Microsoft

โดยแตกต่างจากแคมเปญฟิชชิ่งอื่น ๆ ข้อความเหล่านี้ไม่ได้ถูกปลอมแปลง แต่ถูกส่งโดยตรงจากแพลตฟอร์ม Microsoft Azure Monitor ซึ่งใช้ email address ที่มีความน่าเชื่อถือคือ azure-noreply@microsoft.

Athanasios Rantos ซึ่งดำรงตำแหน่ง Advocate General หรือที่ปรึกษากฎหมายของศาลยุติธรรมสหภาพยุโรป (Court of Justice of the European Union: CJEU) ได้ออกความเห็นทางกฎหมายอย่างเป็นทางการโดยระบุว่า ธนาคารควรต้องรีบคืนเงินให้กับเจ้าของบัญชีที่ได้รับผลกระทบจากธุรกรรมที่ไม่ได้รับอนุญาตโดยทันที แม้ว่าการทำธุรกรรมนั้นจะเกิดจากความผิดพลาดของลูกค้าเองก็ตาม (more…)

พบช่องโหว่ด้านความปลอดภัยระดับความรุนแรงสูง หมายเลข CVE-2026-0628 ซึ่งเกิดขึ้นกับฟีเจอร์ "Live in Chrome" ของ Gemini ช่องโหว่นี้ทำให้ extension ที่มีสิทธิ์ต่ำสามารถฝังโค้ดเข้าไปใน side panel ของ Gemini ซึ่งทำให้ extension นั้นได้รับสิทธิ์การทำงานระดับสูงทันที เช่น การเข้าถึงไฟล์ในเครื่อง, การจับภาพหน้าจอ และการควบคุมกล้อง/ไมโครโฟน

ช่องโหว่ดังกล่าวได้รับการแก้ไขแล้วในการอัปเดตเมื่อเดือนมกราคมที่ผ่านมา แต่ประเด็นที่ลึกไปกว่านั้นคือ AI เบราว์เซอร์ หรือ Agentic เบราว์เซอร์ กำลังก้าวข้ามขอบเขต Isolation boundaries ที่มีมาอย่างยาวนาน ส่งผลให้การโจมตีจาก extension, Prompt injection และการหลอกลวงผ่าน UI ที่ดูน่าเชื่อถือกลายเป็นอันตรายที่รุนแรงขึ้นกว่าเดิมมาก (more…)