สรุปสั้น
ทีม Splunk Threat Research Team (STRT) เปิดเผยแคมเปญมัลแวร์ VIP Keylogger ที่แพร่กระจายผ่านอีเมลฟิชชิงซึ่งปลอมตัวเป็นเอกสารธุรกิจทั่วไป เช่น ใบแจ้งเตือนการชำระเงินของธนาคาร ใบสั่งซื้อ และข้อมูลอัปเดตการขนส่ง เพื่อหลอกให้เหยื่อเปิดไฟล์ แคมเปญนี้เคลื่อนไหวต่อเนื่องมาหลายเดือนและยังไม่มีทีท่าจะหยุด VIP Keylogger เป็นมัลแวร์ประเภทขโมยข้อมูล (infostealer) ที่โดดเด่นด้วยความทนทานและวิธีหลบการตรวจจับแบบหลายชั้น เมื่อเหยื่อเปิดไฟล์ จะเกิดห่วงโซ่การติดเชื้อมัลแวร์หลายขั้นตอนที่ออกแบบมาเพื่อซ่อนตัวในทุกขั้น จนเมื่อเพย์โหลดสุดท้ายทำงาน มัลแวร์ได้ฝังตัวเข้าไปในโพรเซส Windows ที่ถูกต้องตามกฎหมายแล้ว ทำให้ตรวจจับได้ยากมาก STRT วิเคราะห์ตัวอย่าง script loader กว่า 200 ตัวอย่างที่เก็บได้ระหว่างมีนาคมถึงเมษายน 2569
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 28 พฤษภาคม 2569 ว่า ตามรายงานของ Splunk Threat Research Team แคมเปญ VIP Keylogger พึ่งพากลยุทธ์ social engineering อย่างหนักในช่วงหลายเดือนที่ผ่านมา โดยผู้โจมตีอำพรางไฟล์อันตรายให้เหมือนใบแจ้งชำระเงินธนาคาร ใบสั่งซื้อ และข้อมูลขนส่ง การติดมัลแวร์เริ่มจาก script loader หนึ่งในสามชนิด ได้แก่ Visual Basic Script (.vbs), JavaScript (.js) หรือ batch script (.bat) ซึ่งแต่ละตัวถูก obfuscate อย่างหนักด้วยเทคนิคเช่น junk code padding, hex encoding และ AES-encrypted PowerShell stager เพื่อหลบการสแกน ตัว .vbs loader ซ่อนเพย์โหลดไว้กลางไฟล์ คั่นด้วยบล็อกโค้ดไร้ความหมายขนาดใหญ่ เมื่อถอดรหัสแล้วจะส่งการทำงานต่อให้ PowerShell stager ที่ถูกเขียนลงในตัวแปรสภาพแวดล้อมซ่อนชื่อ INTERNAL_DB_CACHE STRT รวบรวมและวิเคราะห์ตัวอย่างมากกว่า 200 รายการจากข้อมูล VirusTotal เพื่อศึกษาวิธีที่ผู้โจมตีตั้งชื่อและส่งไฟล์เหล่านี้
วิธีการโจมตี

หนึ่งในเทคนิคที่สร้างสรรค์ที่สุดของ VIP Keylogger คือ steganography ซึ่งซ่อนโค้ดอันตรายไว้ในไฟล์ภาพที่ดูเหมือนรูปธรรมดา โดย PowerShell stager จะดาวน์โหลดไฟล์ .png สองไฟล์จากเซิร์ฟเวอร์ระยะไกล แต่ละไฟล์แอบบรรจุส่วนประกอบของเพย์โหลดสุดท้ายที่เข้ารหัสไว้ เมื่อถอดรหัสภาพแล้วตัวคีย์ล็อกเกอร์จึงปรากฏและถูกฉีดเข้าโพรเซส Windows ที่ถูกต้องชื่อ aspnet_compiler.exe เมื่อติดตั้งแล้ว VIP Keylogger บันทึกทุกการกดคีย์ จับภาพหน้าจอเป็นระยะ ขโมยรหัสผ่านและคุกกี้ที่บันทึกไว้จากเบราว์เซอร์ยอดนิยมจำนวนมาก และสแกน Windows registry หา Outlook credential นอกจากนี้ยังเฝ้าดูคลิปบอร์ดแบบเรียลไทม์ และแอบสลับที่อยู่กระเป๋าคริปโตเคอร์เรนซีที่ถูกคัดลอกเป็นที่อยู่ของผู้โจมตี มัลแวร์ติดต่อเซิร์ฟเวอร์ command-and-control หลายแห่งเพื่อส่งข้อมูลที่ขโมยได้ รวมถึงผ่าน Telegram bot และยังตรวจสอบ IP ของเหยื่อเทียบกับ sandbox ที่รู้จักเพื่อหลบการวิเคราะห์ ก่อนลบตัวเองออกจากดิสก์หลังทำงานเสร็จ
ผลกระทบต่อไทย
อีเมลฟิชชิงที่ปลอมเป็นใบแจ้งชำระเงิน ใบสั่งซื้อ และเอกสารขนส่งเป็นรูปแบบที่พบบ่อยในองค์กรไทยทุกขนาด โดยเฉพาะแผนกบัญชี จัดซื้อ และโลจิสติกส์ที่รับเอกสารลักษณะนี้เป็นประจำ จึงตกเป็นเป้าหมายได้ง่าย VIP Keylogger ที่สามารถขโมยรหัสผ่าน คุกกี้ และ Outlook credential เปิดทางให้ผู้โจมตีเข้าถึงระบบอีเมลและบริการขององค์กรต่อเนื่อง ความสามารถสลับที่อยู่กระเป๋าคริปโตในคลิปบอร์ดยังเป็นภัยโดยตรงต่อผู้ใช้และนักลงทุนคริปโตในไทย เทคนิค steganography และการฝังตัวในโพรเซสที่ถูกต้องทำให้ระบบ antivirus แบบชั้นเดียวตรวจจับได้ยาก องค์กรไทยจึงควรเสริมการเฝ้าระวังพฤติกรรมและฝึกอบรมพนักงานให้รู้จักอีเมลฟิชชิง
คำแนะนำ
- ฝึกอบรมพนักงาน ให้ระวังอีเมลแนบไฟล์ที่อ้างเป็นใบแจ้งชำระเงิน ใบสั่งซื้อ หรือข้อมูลขนส่ง
- เปิดใช้ PowerShell script block logging เพื่อตรวจจับ stager ที่ใช้ตัวแปรสภาพแวดล้อมร่วมกับคำสั่งรันแบบ dynamic
- เฝ้าระวังการแก้ไข registry ที่เกี่ยวกับคีย์ UserInitMprLogonScript
- ตรวจ DNS query ที่มุ่งไปยังโดเมน api.telegram[.]org ซึ่งอาจบ่งชี้การส่งข้อมูลออกของมัลแวร์
- เฝ้าระวังโพรเซสผิดปกติ ที่ถูกเรียกจาก parent process แบบสคริปต์ รวมถึง aspnet_compiler.exe ที่ทำงานผิดบริบท
- อัปเดตระบบและแพตช์สม่ำเสมอ พร้อมใช้โซลูชันตรวจจับพฤติกรรมแบบหลายชั้น
Indicators of Compromise (IoCs)
| Type | Indicator | Description |
|---|---|---|
| File Hash (SHA256) | 95e6c6c13f65217f41c371abf6d03594b2bfed2259a181307ee41817b9f33871 | VIP Keylogger loader sample |
| File Hash (SHA256) | 2df582bb41d1e6f0a6d44e8dbc1d8bca8e3d332bb268688d1f59c65ebe64d0e8 | VIP Keylogger component |
| File Hash (SHA256) | 17ffe7ecbf1d5a4bc3768d896c9348d5de337baa0b0938e4283324d3b1e8ccbd | VIP Keylogger component |
| File Hash (SHA256) | eed694aab3b14b25dfcc6e7f69992b3f5543bcc9ebe86bd0b682e211f428613b | VIP Keylogger component |
| File Hash (SHA256) | 9bca7a3ac404807c63670141a3459eac24450e0cffbe109905c76ccf4ebdd12e | VIP Keylogger component |
| File Hash (SHA256) | 1df63047a3206026073781d88516927c6d68f6413e437e4a919b2007f6a2ade3 | VIP Keylogger component |
| File Hash (SHA256) | ae6918bfe8774e1ec1ec34f3db26e7e548dd0dc33a4e6faa2862e4d2c722c7bf | VIP Keylogger sample |
| File Hash (SHA256) | c86aa6c2c589455659b7a4ce6bb15cbdecb69250504d0b00bf3a9ac2209e3f60 | VIP Keylogger sample |
| File Hash (SHA256) | 00553aa0e89b79d5ad4a4b03f9b153d27d356c6e62648fa87c2c378af42801cc | VIP Keylogger sample |
| File Hash (SHA256) | d00ad4c93afcc23b9f8e5f56a8ddef81c1f4b3319793cca0789e92ef11ccc9ab | VIP Keylogger sample |
| File Name | img_085027.png | ไฟล์ภาพ steganography ที่บรรจุเพย์โหลดสุดท้าย |
| URL | hxxps://vault88x[.]secure-efficient2[.]su/MSI_105759[.]png | URL ดาวน์โหลด steganography แรก (downloader component) |
| URL | hxxps://vault88x[.]secure-efficient2[.]su/img_085027[.]png | URL ดาวน์โหลด steganography ที่สอง (เพย์โหลดสุดท้าย) |
| URL | hxxps[:]//reallyfreegeoip[.]org/xml/ | URL geolocation lookup สำหรับ C2 beaconing |
| URL | hxxp[:]//checkip[.]dyndns[.]org/ | URL ตรวจ IP ระหว่าง C2 beaconing |
| Domain | api.telegram[.]org | โดเมน Telegram Bot API ใช้สื่อสาร C2 และส่งข้อมูลออก |
หมายเหตุ: IP และโดเมนถูก defang โดยตั้งใจ (เช่น
[.]) เพื่อป้องกันการ resolve โดยไม่ตั้งใจ ให้ re-fang เฉพาะในแพลตฟอร์มข่าวกรองภัยคุกคามที่ควบคุมได้ เช่น MISP, VirusTotal หรือ SIEM
