สรุปสั้น

แคมเปญ social engineering ชื่อ SmartApeSG กลับมาอีกครั้งด้วยเทคนิคใหม่ที่เรียกว่า ClickFix เพื่อแอบติดตั้ง Remote Access Trojan (RAT) บนเครื่อง Windows โดยไม่ให้เหยื่อรู้ตัว

วิธีการโจมตีเริ่มจากการนำเหยื่อไปยังเว็บไซต์ที่ถูกบุกรุกหรือเว็บไซต์อันตราย ซึ่งแสดงหน้า “verification” ปลอมที่สั่งให้ผู้ใช้รันคำสั่งเพื่อยืนยันตัวตน

จุดที่น่ากังวลเป็นพิเศษคือแคมเปญนี้ไม่หยุดที่มัลแวร์ตัวเดียว แต่จะดาวน์โหลดเครื่องมือที่มีความสามารถสูงกว่าเพิ่มเติมในขั้นตอนที่สองหลังจากได้ที่มั่นในระบบแล้ว

เทคนิค ClickFix อาศัยการหลอกลวงทางจิตวิทยา โดยทำให้เหยื่อเชื่อว่ากำลังทำสิ่งที่ถูกต้องและจำเป็น เช่น การยืนยันตัวตนหรือการแก้ปัญหาทางเทคนิค ทำให้โปรแกรมป้องกันมัลแวร์แบบดั้งเดิมตรวจจับได้ยาก

เทคนิคนี้ถูกใช้อย่างแพร่หลายมากขึ้นในปี 2569 และเป็นหนึ่งในเวกเตอร์โจมตีที่อันตรายที่สุดสำหรับผู้ใช้ทั่วไป

นักวิจัยเตือนว่า SmartApeSG เป็นแคมเปญที่วิวัฒนาการอย่างต่อเนื่อง และมีแนวโน้มจะปรับเปลี่ยนรูปแบบการโจมตีเพื่อหลีกเลี่ยงการตรวจจับ

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 1 มิถุนายน พ.ศ. 2569 ว่าแคมเปญ SmartApeSG ซึ่งเป็นที่รู้จักดีในวงการ social engineering ได้กลับมาพร้อมกับเทคนิค ClickFix เพื่อซ่อนมัลแวร์ประเภท RAT ลงในเครื่อง Windows ของเหยื่ออย่างเงียบ ๆ

แคมเปญนี้ล่อเหยื่อผ่านหน้า “verification” ปลอม ซึ่งโน้มน้าวให้ผู้ใช้รันสคริปต์อันตรายโดยไม่ตระหนักถึงอันตรายที่แท้จริง สิ่งที่ทำให้คลื่นการโจมตีรอบนี้น่าเป็นห่วงเป็นพิเศษคือมัลแวร์ไม่หยุดแค่ตัวเดียว แต่จะดึงเครื่องมือที่มีประสิทธิภาพสูงกว่าเข้ามาในระบบหลังจากได้ที่มั่นแล้ว

ห่วงโซ่การติดเชื้อมัลแวร์เริ่มต้นเมื่อผู้ใช้เข้าเว็บไซต์ที่ถูกบุกรุกหรือเว็บไซต์อันตราย ซึ่งแสดงหน้า verification ปลอม จากนั้นหน้าเว็บจะสั่งให้ผู้ใช้ดำเนินการบางอย่าง เช่น กด shortcut หรือวางคำสั่งใน Run dialog ซึ่งที่จริงแล้วเป็นการรัน PowerShell script หรือ command อันตราย

เทคนิค ClickFix อาศัยการหลอกลวงทางจิตวิทยาโดยทำให้เหยื่อคิดว่าตนเองกำลังดำเนินการแก้ไขปัญหาหรือยืนยันตัวตน ขณะที่จริง ๆ แล้วกำลังรันโค้ดอันตรายด้วยสิทธิ์ของตนเอง ทำให้ผ่านการตรวจสอบของโปรแกรมป้องกันไวรัสทั่วไปได้

SmartApeSG เป็นแคมเปญที่มีประวัติยาวนานและปรับเปลี่ยนวิธีการโจมตีอย่างสม่ำเสมอเพื่อหลีกเลี่ยงการตรวจจับ การกลับมาครั้งนี้พร้อมกับ ClickFix แสดงให้เห็นว่าผู้โจมตียังคงมองหาวิธีใหม่ ๆ ในการหลอกลวงผู้ใช้ทั่วไป

SmartApeSG ClickFix campaign delivers RAT malware on Windows

วิธีการโจมตี

ขั้นตอนการโจมตี:

  1. Initial Lure — ผู้ใช้เข้าถึงเว็บไซต์ที่ถูกบุกรุกหรือเว็บไซต์อันตราย ซึ่งแสดงหน้า verification ปลอม
  2. ClickFix Trick — หน้าเว็บสั่งให้ผู้ใช้กดปุ่ม หรือวางคำสั่งใน Windows Run dialog (Win+R) หรือ PowerShell เพื่อ “ยืนยันตัวตน”
  3. First Stage Payload — script รันและดาวน์โหลด RAT ตัวแรก พร้อมสร้าง persistence บนเครื่อง
  4. Second Stage — RAT ดาวน์โหลดเครื่องมือที่มีความสามารถสูงกว่าเพิ่มเติม เช่น keylogger หรือ infostealer

เทคนิคที่ใช้หลีกเลี่ยงการตรวจจับ:

  • ใช้การกระทำของผู้ใช้เองในการรันโค้ด แทนการใช้ exploit
  • แฝงตัวในบริการและโปรแกรมที่ถูกกฎหมาย
  • ห่วงโซ่การโจมตีหลายขั้นตอนทำให้วิเคราะห์ยาก

เป้าหมาย: ผู้ใช้ Windows ทั่วไปที่ไม่คุ้นเคยกับการโจมตีแบบ social engineering โดยเฉพาะผู้ใช้ตามบ้านและองค์กรขนาดเล็กที่ไม่มีทีม IT ดูแล

ผลกระทบต่อไทย

เทคนิค ClickFix กำลังแพร่หลายมากขึ้นในไทย โดยพบในการโจมตีที่ปลอมเป็นหน้ายืนยัน CAPTCHA ของเว็บไซต์ยอดนิยม รวมถึงหน้าเว็บปลอมที่แอบอ้างเป็นเว็บไซต์ราชการหรือสถาบันการเงิน

ผู้ใช้คอมพิวเตอร์ที่ไม่ได้รับการอบรมด้านความปลอดภัยมีความเสี่ยงสูง เนื่องจากหน้าเว็บปลอมมีความน่าเชื่อถือสูงและขั้นตอนที่สั่งให้ทำดูเหมือนเป็นเรื่องปกติ

องค์กรที่อนุญาตให้พนักงานใช้ browser ส่วนตัวหรือไม่มีการกรอง web traffic มีความเสี่ยงที่ผู้ใช้จะเจอหน้าเว็บประเภทนี้ได้ง่าย

คำแนะนำ

  1. ฝึกอบรมผู้ใช้เรื่อง ClickFix — เน้นว่าเว็บไซต์ที่ถูกต้องจะไม่มีวันขอให้ผู้ใช้วางคำสั่งใน PowerShell หรือ Run dialog เพื่อยืนยันตัวตน
  2. บล็อก PowerShell จากเว็บ browser — กำหนด AppLocker หรือ WDAC policy เพื่อป้องกันไม่ให้ browser spawning กระบวนการ PowerShell
  3. เปิดใช้ Script Block Logging — ช่วยให้ทีม SOC ตรวจสอบคำสั่ง PowerShell ที่รันบนเครื่องได้
  4. ใช้ Web Content Filtering — กรอง URL ที่รู้จักว่าเกี่ยวข้องกับ SmartApeSG และ ClickFix campaigns
  5. อัปเดต Endpoint Protection — ตรวจสอบว่า EDR/antivirus รองรับ behavior-based detection สำหรับ ClickFix-style attacks

แหล่งอ้างอิง