สรุปสั้น
แคมเปญ social engineering ชื่อ SmartApeSG กลับมาอีกครั้งด้วยเทคนิคใหม่ที่เรียกว่า ClickFix เพื่อแอบติดตั้ง Remote Access Trojan (RAT) บนเครื่อง Windows โดยไม่ให้เหยื่อรู้ตัว
วิธีการโจมตีเริ่มจากการนำเหยื่อไปยังเว็บไซต์ที่ถูกบุกรุกหรือเว็บไซต์อันตราย ซึ่งแสดงหน้า “verification” ปลอมที่สั่งให้ผู้ใช้รันคำสั่งเพื่อยืนยันตัวตน
จุดที่น่ากังวลเป็นพิเศษคือแคมเปญนี้ไม่หยุดที่มัลแวร์ตัวเดียว แต่จะดาวน์โหลดเครื่องมือที่มีความสามารถสูงกว่าเพิ่มเติมในขั้นตอนที่สองหลังจากได้ที่มั่นในระบบแล้ว
เทคนิค ClickFix อาศัยการหลอกลวงทางจิตวิทยา โดยทำให้เหยื่อเชื่อว่ากำลังทำสิ่งที่ถูกต้องและจำเป็น เช่น การยืนยันตัวตนหรือการแก้ปัญหาทางเทคนิค ทำให้โปรแกรมป้องกันมัลแวร์แบบดั้งเดิมตรวจจับได้ยาก
เทคนิคนี้ถูกใช้อย่างแพร่หลายมากขึ้นในปี 2569 และเป็นหนึ่งในเวกเตอร์โจมตีที่อันตรายที่สุดสำหรับผู้ใช้ทั่วไป
นักวิจัยเตือนว่า SmartApeSG เป็นแคมเปญที่วิวัฒนาการอย่างต่อเนื่อง และมีแนวโน้มจะปรับเปลี่ยนรูปแบบการโจมตีเพื่อหลีกเลี่ยงการตรวจจับ
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 1 มิถุนายน พ.ศ. 2569 ว่าแคมเปญ SmartApeSG ซึ่งเป็นที่รู้จักดีในวงการ social engineering ได้กลับมาพร้อมกับเทคนิค ClickFix เพื่อซ่อนมัลแวร์ประเภท RAT ลงในเครื่อง Windows ของเหยื่ออย่างเงียบ ๆ
แคมเปญนี้ล่อเหยื่อผ่านหน้า “verification” ปลอม ซึ่งโน้มน้าวให้ผู้ใช้รันสคริปต์อันตรายโดยไม่ตระหนักถึงอันตรายที่แท้จริง สิ่งที่ทำให้คลื่นการโจมตีรอบนี้น่าเป็นห่วงเป็นพิเศษคือมัลแวร์ไม่หยุดแค่ตัวเดียว แต่จะดึงเครื่องมือที่มีประสิทธิภาพสูงกว่าเข้ามาในระบบหลังจากได้ที่มั่นแล้ว
ห่วงโซ่การติดเชื้อมัลแวร์เริ่มต้นเมื่อผู้ใช้เข้าเว็บไซต์ที่ถูกบุกรุกหรือเว็บไซต์อันตราย ซึ่งแสดงหน้า verification ปลอม จากนั้นหน้าเว็บจะสั่งให้ผู้ใช้ดำเนินการบางอย่าง เช่น กด shortcut หรือวางคำสั่งใน Run dialog ซึ่งที่จริงแล้วเป็นการรัน PowerShell script หรือ command อันตราย
เทคนิค ClickFix อาศัยการหลอกลวงทางจิตวิทยาโดยทำให้เหยื่อคิดว่าตนเองกำลังดำเนินการแก้ไขปัญหาหรือยืนยันตัวตน ขณะที่จริง ๆ แล้วกำลังรันโค้ดอันตรายด้วยสิทธิ์ของตนเอง ทำให้ผ่านการตรวจสอบของโปรแกรมป้องกันไวรัสทั่วไปได้
SmartApeSG เป็นแคมเปญที่มีประวัติยาวนานและปรับเปลี่ยนวิธีการโจมตีอย่างสม่ำเสมอเพื่อหลีกเลี่ยงการตรวจจับ การกลับมาครั้งนี้พร้อมกับ ClickFix แสดงให้เห็นว่าผู้โจมตียังคงมองหาวิธีใหม่ ๆ ในการหลอกลวงผู้ใช้ทั่วไป

วิธีการโจมตี
ขั้นตอนการโจมตี:
- Initial Lure — ผู้ใช้เข้าถึงเว็บไซต์ที่ถูกบุกรุกหรือเว็บไซต์อันตราย ซึ่งแสดงหน้า verification ปลอม
- ClickFix Trick — หน้าเว็บสั่งให้ผู้ใช้กดปุ่ม หรือวางคำสั่งใน Windows Run dialog (Win+R) หรือ PowerShell เพื่อ “ยืนยันตัวตน”
- First Stage Payload — script รันและดาวน์โหลด RAT ตัวแรก พร้อมสร้าง persistence บนเครื่อง
- Second Stage — RAT ดาวน์โหลดเครื่องมือที่มีความสามารถสูงกว่าเพิ่มเติม เช่น keylogger หรือ infostealer
เทคนิคที่ใช้หลีกเลี่ยงการตรวจจับ:
- ใช้การกระทำของผู้ใช้เองในการรันโค้ด แทนการใช้ exploit
- แฝงตัวในบริการและโปรแกรมที่ถูกกฎหมาย
- ห่วงโซ่การโจมตีหลายขั้นตอนทำให้วิเคราะห์ยาก
เป้าหมาย: ผู้ใช้ Windows ทั่วไปที่ไม่คุ้นเคยกับการโจมตีแบบ social engineering โดยเฉพาะผู้ใช้ตามบ้านและองค์กรขนาดเล็กที่ไม่มีทีม IT ดูแล
ผลกระทบต่อไทย
เทคนิค ClickFix กำลังแพร่หลายมากขึ้นในไทย โดยพบในการโจมตีที่ปลอมเป็นหน้ายืนยัน CAPTCHA ของเว็บไซต์ยอดนิยม รวมถึงหน้าเว็บปลอมที่แอบอ้างเป็นเว็บไซต์ราชการหรือสถาบันการเงิน
ผู้ใช้คอมพิวเตอร์ที่ไม่ได้รับการอบรมด้านความปลอดภัยมีความเสี่ยงสูง เนื่องจากหน้าเว็บปลอมมีความน่าเชื่อถือสูงและขั้นตอนที่สั่งให้ทำดูเหมือนเป็นเรื่องปกติ
องค์กรที่อนุญาตให้พนักงานใช้ browser ส่วนตัวหรือไม่มีการกรอง web traffic มีความเสี่ยงที่ผู้ใช้จะเจอหน้าเว็บประเภทนี้ได้ง่าย
คำแนะนำ
- ฝึกอบรมผู้ใช้เรื่อง ClickFix — เน้นว่าเว็บไซต์ที่ถูกต้องจะไม่มีวันขอให้ผู้ใช้วางคำสั่งใน PowerShell หรือ Run dialog เพื่อยืนยันตัวตน
- บล็อก PowerShell จากเว็บ browser — กำหนด AppLocker หรือ WDAC policy เพื่อป้องกันไม่ให้ browser spawning กระบวนการ PowerShell
- เปิดใช้ Script Block Logging — ช่วยให้ทีม SOC ตรวจสอบคำสั่ง PowerShell ที่รันบนเครื่องได้
- ใช้ Web Content Filtering — กรอง URL ที่รู้จักว่าเกี่ยวข้องกับ SmartApeSG และ ClickFix campaigns
- อัปเดต Endpoint Protection — ตรวจสอบว่า EDR/antivirus รองรับ behavior-based detection สำหรับ ClickFix-style attacks
