นักวิจัยด้านความปลอดภัยทางไซเบอร์พบเทคนิคใหม่ที่อาชญากรไซเบอร์ใช้ในการแพร่กระจายมัลแวร์ โดยอาศัยหน้าการยืนยันตัวตน CAPTCHA ปลอมที่เรียกว่า ClickFix เพื่อหลอกเหยื่อให้รันคำสั่งอันตราย เทคนิคนี้ถูกนำมาใช้ในการติดตั้งมัลแวร์หลายประเภท เช่น Infostealers, Ransomware และ Quakbot ซึ่งเป็นโทรจันทางการเงินที่อันตราย
วิธีการโจมตีของ ClickFix
การโจมตีเริ่มต้นด้วย หน้าเว็บฟิชชิง ที่หลอกให้เหยื่อเปลี่ยนเส้นทางไปยังเว็บไซต์ CAPTCHA ปลอม เช่น cfcaptcha[.]com โดยให้ทำตามคำแนะนำที่ระบุให้กด Windows Key + R วางคำสั่งที่ถูกฝังในคลิปบอร์ดผ่าน CTRL + V และกด Enter เพื่อรันคำสั่ง
คำสั่งดังกล่าวจะเรียกใช้ PowerShell script เพื่อดาวน์โหลดและรันมัลแวร์จากโดเมนที่แฮกเกอร์ควบคุม เช่น duolingos[.]com โดยมีเป้าหมายในการติดตั้งมัลแวร์ Qakbot และมัลแวร์ประเภทอื่นๆ เพื่อขโมยข้อมูลหรือเข้าควบคุมอุปกรณ์ของเหยื่อ
เทคนิคการหลบเลี่ยงการตรวจจับ
มัลแวร์ ClickFix ใช้ เทคนิคการเข้ารหัสและการทำให้ซับซ้อนหลายชั้น (Layered Obfuscation) เช่น การเข้ารหัสสตริงแบบ XOR และ การสร้าง URL แบบไดนามิก เพื่อหลีกเลี่ยงการตรวจจับจากระบบรักษาความปลอดภัย
นอกจากนี้ ไฟล์ ZIP ที่ดาวน์โหลด (เช่น flswunwa.zip) ยังถูกโฮสต์ไว้หลังบริการ Cloudflare และคืนค่า 404 Errors เพื่อลดโอกาสในการตรวจจับและวิเคราะห์
พบ Dropper ที่ซ่อนการโจมตี
การตรวจสอบเพิ่มเติมพบว่า แฮกเกอร์ใช้ Dropper ที่พัฒนาด้วย PHP ทำหน้าที่เป็นพร็อกซีเพื่อดึงไฟล์มัลแวร์จากเซิร์ฟเวอร์สำรอง ซึ่งช่วยซ่อนโครงสร้างพื้นฐานของการโจมตี ทำให้การตรวจสอบต้นทางของมัลแวร์ทำได้ยาก
แม้ว่าจะมีความพยายามในการปิดกั้นโดเมนที่เกี่ยวข้องกับการโจมตีบางส่วน แต่เทคนิคนี้ยังคงได้ผล เนื่องจากอาศัย Social Engineering เพื่อหลอกให้เหยื่อปฏิบัติตามคำสั่งโดยไม่ทันระวัง
ClickFix เชื่อมโยงกับกลยุทธ์ MITRE ATT&CK
เทคนิค ClickFix ตรงกับหลายกลยุทธ์ของ MITRE ATT&CK ได้แก่:
– Initial Access (เข้าถึงระบบเบื้องต้น) – ผ่าน Phishing
– Execution (ดำเนินการคำสั่ง) – ผ่าน PowerShell
– Defense Evasion (หลบเลี่ยงการตรวจจับ) – ผ่าน Obfuscation
วิธีป้องกันภัยคุกคามจาก ClickFix
เพื่อป้องกันการโจมตี องค์กรและผู้ใช้ทั่วไปควรปฏิบัติตามแนวทางต่อไปนี้:
✅ เพิ่มความระมัดระวัง กับหน้าการยืนยัน CAPTCHA ที่ดูผิดปกติ และหลีกเลี่ยงการกดปุ่มลัดหรือรันคำสั่งที่ไม่คุ้นเคย
✅ บล็อกโดเมนอันตราย เช่น cfcaptcha[.]com ที่เกี่ยวข้องกับการแพร่กระจายมัลแวร์
✅ ติดตั้งระบบป้องกันปลายทาง (Endpoint Protection) ที่สามารถตรวจจับกิจกรรม PowerShell ที่ผิดปกติได้
✅ อัปเดตซอฟต์แวร์และระบบความปลอดภัย อย่างสม่ำเสมอ เพื่อลดช่องโหว่ที่อาจถูกใช้โจมตี
สรุป
การโจมตีผ่าน ClickFix เป็นตัวอย่างของ Social Engineering ที่พัฒนาไปอีกขั้น โดยใช้ CAPTCHA ปลอมเป็นเครื่องมือในการล่อลวงเหยื่อ การกลับมาของ Qakbot และการปรับตัวของมัลแวร์ประเภทนี้ เป็นสัญญาณเตือนให้องค์กรและผู้ใช้ทั่วไปต้องเพิ่มความระมัดระวัง และเตรียมมาตรการป้องกันภัยไซเบอร์อย่างเข้มงวด
รายละเอียด – GBH










































