สรุปสั้น
บริษัทวิจัยความปลอดภัย Cyderes เปิดเผยแคมเปญขโมย credential ที่กำลังเคลื่อนไหวอยู่ โดยมุ่งเป้าผู้ใช้เครื่องมือ Claude Code ของ Anthropic ที่เพิ่งเริ่มใช้งานเป็นครั้งแรก ผู้โจมตีอาศัยกระแสการนำเครื่องมือเขียนโค้ดด้วย AI มาใช้อย่างรวดเร็วเพื่อเล่นงานเจ้าของธุรกิจขนาดเล็ก ผู้ประกอบการ และครู ที่ไม่มีการป้องกันระดับองค์กร การโจมตีเริ่มจาก SEO poisoning เมื่อเหยื่อค้นหาวิธีติดตั้งซอฟต์แวร์ก็จะถูกพาไปยังหน้า Anthropic ปลอม แล้วถูกหลอกด้วยกลลวง ClickFix ให้เปิดช่อง Run ของ Windows และวางคำสั่ง mshta.exe ที่เป็นอันตราย ทั้งหมดรันในหน่วยความจำโดยไม่เขียนไฟล์ลงดิสก์ ทำให้แทบตรวจจับไม่ได้ ทั้งนี้ Cyderes ยืนยันว่า Anthropic เองไม่ได้ถูกเจาะ
รายละเอียดข่าว
เว็บไซต์ HackRead รายงานเมื่อวันที่ 30 พฤษภาคม 2569 ว่ารายงานข่าวกรองภัยคุกคามฉบับใหม่จาก Cyderes ได้เปิดโปงแคมเปญขโมย credential ที่มุ่งเป้าผู้ใช้ Claude Code มือใหม่ โดยเฉพาะกลุ่มที่ขาดการป้องกันระดับองค์กร
ห่วงโซ่การโจมตีเริ่มจาก SEO poisoning เมื่อผู้ใช้ค้นหาวิธีติดตั้งซอฟต์แวร์ จะถูกนำไปยังหน้า Anthropic ปลอม จากนั้นจะถูกสั่งให้เปิดช่อง Run ของ Windows (Win+R) แล้ววางคำสั่ง mshta.exe ที่เป็นอันตราย ซึ่งเป็นกลลวงแบบ ClickFix คลาสสิกที่ช่วยให้ผู้โจมตีได้การรันแบบ hands-on keyboard เพื่อหลบการวิเคราะห์ใน sandbox อัตโนมัติ
เมื่อ mshta.exe ทำงาน จะดึงเพย์โหลด MP3/HTA polyglot ขนาด 6.7 MB จากโดเมน download.version-516[.]com/claude ไฟล์นี้ทำงานสองรูปแบบพร้อมกัน คือมีแท็กเสียงและภาพปกที่ถูกต้องเพื่อผ่านการตรวจชนิดไฟล์ พร้อมกับซ่อน HTA script block ที่ mshta.exe จะประมวลผลและสั่งรันสคริปต์อันตราย
ตามบล็อกของ Cyderes สคริปต์นี้จะตั้ง task ซ่อนเพื่อเปิด Windows PowerShell เวอร์ชันเก่าแบบ 32-bit แทนแบบ 64-bit เพราะนักวิจัยเชื่อว่าผู้โจมตีเลือกเวอร์ชันนี้โดยเจตนา เนื่องจากระบบ EDR สมัยใหม่มักตรวจเฉพาะเวอร์ชัน 64-bit หลังเปิด PowerShell ตัวโหลดจะทำ AMSI bypass ซึ่งเป็นเทคนิคปิดตัวสแกนสคริปต์ในตัวของ Windows เพื่อไม่ให้ถูกตรวจจับ จากนั้นใช้กุญแจลับ (BWJFEesMEqRvjQbm) ปลดล็อกโค้ดที่ซ่อนอยู่
ขั้นสุดท้ายเชื่อมต่ออินเทอร์เน็ตเพื่อดาวน์โหลดสคริปต์ขนาดใหญ่ 17 MB โดยผู้โจมตีจงใจทำให้ไฟล์ใหญ่เพื่อให้เครื่องมือทดสอบความปลอดภัย (sandbox) ทำงานหนักจนแครช กระบวนการทั้งหมดทำในหน่วยความจำชั่วคราวของเครื่อง จึงไม่มีไฟล์ถูกบันทึกลงฮาร์ดดิสก์ ทำให้การโจมตีแทบมองไม่เห็น
วิธีการโจมตี
เพย์โหลดสุดท้ายเป็น .NET infostealer แบบ reflective ที่ฝังอยู่ในสคริปต์ Stage 3 โดยอาศัยฟีเจอร์ Assembly.Load(byte[]) ของ .NET Framework ตัวโหลดจะรันโค้ดโดยตรงภายใน address space ของ PowerShell.exe ที่มีอยู่แล้ว ทำให้การโจมตียังคงเป็นแบบ fileless จากนั้นจึงเริ่มขโมยข้อมูลโดยเข้าถึง credential store ของเบราว์เซอร์เพื่อขโมยข้อมูลที่บันทึกไว้ แล้วเชื่อมต่อไปยังเซิร์ฟเวอร์ C2 ที่ 185.177.239[.]255:443 เพื่อส่งข้อมูล ซึ่งนักวิจัยระบุว่า IP นี้วิ่งตรงไปยังโครงสร้างพื้นฐานในรัสเซีย Cyderes ยืนยันว่า Anthropic เองไม่ได้ถูกเจาะ และแนะนำให้ผู้ป้องกันบล็อก wildcard query ไปยัง *.oakenfjrod[.]ru และเฝ้าระวังการเชื่อมต่อขาออกจาก mshta.exe
หมายเหตุ: indicator ในข่าวนี้ถูก defang (
[.]) เพื่อความปลอดภัย ห้ามนำไปเข้าถึงโดยตรง
ผลกระทบต่อไทย
เครื่องมือเขียนโค้ดด้วย AI อย่าง Claude Code กำลังได้รับความนิยมในหมู่นักพัฒนา ฟรีแลนซ์ และผู้ประกอบการในไทยอย่างรวดเร็ว แคมเปญนี้มุ่งเป้ากลุ่มผู้ใช้มือใหม่ที่มักขาดการป้องกันระดับองค์กร ซึ่งตรงกับโปรไฟล์ของผู้ใช้จำนวนมากในไทย กลลวง ClickFix ที่หลอกให้วางคำสั่งในช่อง Run เป็นเทคนิคที่ได้ผลกับผู้ใช้ที่ไม่คุ้นเคย และเนื่องจากการโจมตีเป็นแบบ fileless ที่หลบ EDR ทั่วไปได้ ผู้ใช้คนไทยที่ค้นหาวิธีติดตั้งเครื่องมือ AI ผ่าน Google จึงเสี่ยงตกเป็นเหยื่อหากคลิกลิงก์ผลการค้นหาที่ถูก SEO poisoning ทั้งนี้ ข่าวนี้เกี่ยวเนื่องกับโพสต์ 053 ที่รายงานแคมเปญ SEO poisoning ปลอมเป็น Gemini CLI และ Claude Code ก่อนหน้านี้ แต่เป็นรายงานคนละฉบับและเทคนิคต่างกัน
คำแนะนำ
ผู้ใช้ควรดาวน์โหลดและติดตั้งเครื่องมือ AI จากเว็บไซต์ทางการของ Anthropic เท่านั้น โดยพิมพ์ URL เองหรือตรวจสอบโดเมนให้ถูกต้อง ห้ามเชื่อลิงก์จากผลการค้นหาที่อาจถูก SEO poisoning กฎเหล็กคือ “อย่าวางคำสั่งใด ๆ ลงในช่อง Run (Win+R) หรือ PowerShell ตามคำสั่งของหน้าเว็บเด็ดขาด” เพราะเว็บที่ถูกต้องจะไม่ขอให้ทำเช่นนั้น ผู้ดูแลระบบควรบล็อก wildcard query ไปยัง *.oakenfjrod[.]ru เฝ้าระวังการเชื่อมต่อขาออกจาก mshta.exe และพิจารณาจำกัดหรือเฝ้าระวังการรัน mshta.exe และ PowerShell 32-bit ในเครื่องผู้ใช้ ควรให้ความรู้พนักงานและผู้ใช้เรื่องกลลวง ClickFix และหมุนเวียนรหัสผ่านที่บันทึกในเบราว์เซอร์หากสงสัยว่าติดมัลแวร์
