สรุปสั้น
นักวิจัยด้านความปลอดภัยตรวจพบแคมเปญ malspam ใหม่ที่ใช้โดเมน DoubleClick ของ Google เป็นช่องทางหลบการตรวจจับ เพื่อส่งมัลแวร์ remote access trojan (RAT) ที่ชื่อ DesckVB RAT โดยนักวิจัยจากบริษัท Huntress คือนาง Anna Pham และนาย Adam Mooney ระบุว่า “ก่อนที่เหยื่อจะไปถึงโครงสร้างของผู้โจมตี เหยื่อล่อจะวิ่งผ่าน DoubleClick ซึ่งเป็นโดเมนที่ Google เป็นเจ้าของและถูกกฎหมาย ทำให้เครื่องมือความปลอดภัยจำนวนมากมีแนวโน้มไม่มองว่าน่าสงสัย”
จากนั้นเหยื่อจะถูกส่งเข้าสู่ malspam kit ที่ปรับแต่งตัวเองทันทีโดยใช้อีเมลของเหยื่อ ดึงโลโก้บริษัทและรายละเอียดที่ตั้งมาทำให้หน้าเพจดูน่าเชื่อถือ โดยผู้ปฏิบัติการไม่ต้องสร้างเหยื่อล่อเฉพาะสำหรับแต่ละเป้าหมาย จุดเด่นของการโจมตีนี้คือการตัดความจำเป็นในการมีชุดเครื่องมือเฉพาะสำหรับแต่ละองค์กรเป้าหมาย ทำให้ปฏิบัติการขยายขนาดได้และต้นทุนต่ำ
เป้าหมายสุดท้ายของแคมเปญคือการปล่อย DesckVB RAT ซึ่งเป็นโทรจันที่พัฒนาบน .NET และเคลื่อนไหวในวงจริงมาตั้งแต่เดือนกุมภาพันธ์ 2569 โดยการโจมตีเริ่มเมื่อผู้ใช้เปิดไฟล์ HTML ที่แนบมากับอีเมลฟิชชิง ซึ่งจะกระตุ้น meta-refresh redirect ไปยัง URL ติดตามการคลิกของ Google DoubleClick Campaign Manager
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 3 มิถุนายน 2569 ว่าบริษัท Huntress พบแคมเปญ malspam ที่ใช้โดเมน Google DoubleClick บังการตรวจจับเพื่อส่ง DesckVB RAT โดยอาศัยความน่าเชื่อถือของโดเมน Google ที่เครื่องมือความปลอดภัยมักไม่สงสัย
การโจมตีเริ่มเมื่อผู้ใช้เปิดไฟล์ HTML ที่แนบมากับอีเมลฟิชชิง ไฟล์จะกระตุ้น meta-refresh browser redirect ไปยัง URL ติดตามการคลิกของ Google DoubleClick Campaign Manager จากนั้นเหยื่อจะถูกนำไปยัง redirector อีกตัวที่ถอดรหัสอีเมลที่เข้ารหัส Base64 และนำเหยื่อไปยังหน้า landing ที่มีปุ่ม “Download PDF” เมื่อคลิกปุ่ม เซิร์ฟเวอร์จะตอบกลับด้วยไฟล์ ZIP ที่เริ่มต้นห่วงโซ่การติดเชื้อมัลแวร์
ห่วงโซ่นี้ทำงานผ่าน JavaScript loader ที่มีหน้าที่หลักคือดึงและรัน .NET RAT โดยหลบการตรวจจับ สคริปต์จะสกัดและรัน PowerShell script ซึ่งจะดึง .NET loader จากเซิร์ฟเวอร์ภายนอก ตัว loader ทำหน้าที่เป็น stager ที่ตรวจสอบว่าไม่ได้ถูกวิเคราะห์ ปิดมาตรการความปลอดภัยของเครื่อง ตั้ง persistence แล้วดาวน์โหลดและรัน RAT payload ด้วยเทคนิค process hollowing ที่ฉีดมัลแวร์เข้าไปใน process ที่ Microsoft เซ็นรับรอง
เมื่อทำงานแล้ว โทรจันจะสื่อสารกับเซิร์ฟเวอร์ C2 ผ่าน raw TCP socket ทำการลาดตระเวนระบบ และตั้งค่า Microsoft Defender exclusion อีกทั้งยังแพตช์ Antimalware Scan Interface (AMSI) และ Event Tracing for Windows (ETW) ที่ระดับ native API ตั้งแต่แรกเพื่อทำให้ telemetry ของ Windows มืดบอด ก่อนตั้ง persistence ด้วย Run/RunOnce registry และวาง loader ใน Startup folder โดยบริษัท Huntress ย้ำว่านี่เป็นเครื่องเตือนว่าทำไม defense in depth จึงสำคัญ
วิธีการโจมตี
จุดเด่นของแคมเปญนี้คือการใช้โดเมน Google DoubleClick ที่ถูกกฎหมายเป็นจุดเปลี่ยนทาง (redirect) เพื่อให้ลิงก์ดูน่าเชื่อถือและหลบเครื่องมือความปลอดภัย ก่อนส่งเหยื่อเข้าสู่ malspam kit ที่ปรับแต่งหน้าเพจอัตโนมัติตามอีเมลของเหยื่อ ดึงแบรนด์และที่ตั้งมาทำให้แนบเนียนโดยไม่ต้องสร้างเหยื่อล่อทีละราย ทำให้ปฏิบัติการขยายขนาดและประหยัดต้นทุน
ห่วงโซ่การติดเชื้อมัลแวร์เริ่มจากไฟล์ HTML แนบอีเมล กระตุ้น meta-refresh ไป DoubleClick แล้วต่อไปยัง redirector ที่ถอด Base64 อีเมลและนำไปหน้า landing ที่มีปุ่ม Download PDF เมื่อคลิกจะได้ไฟล์ ZIP ที่มี JavaScript loader ซึ่งสกัดและรัน PowerShell แล้วดึง .NET loader มาเป็น stager
ตัว stager จะตรวจว่าไม่ถูกวิเคราะห์ ปิดมาตรการความปลอดภัย ตั้ง persistence แล้วใช้ process hollowing ฉีด RAT เข้า process ที่ Microsoft เซ็น เมื่อ DesckVB RAT ทำงาน จะสื่อสาร C2 ผ่าน raw TCP ตั้ง Defender exclusion แพตช์ AMSI และ ETW เพื่อปิด telemetry และมีความสามารถขโมยข้อมูล รันคำสั่ง ปล่อย payload เพิ่ม รวมถึงรีบูตเครื่องหากตรวจพบเครื่องมือวิเคราะห์หรือ sandbox
ผลกระทบต่อไทย
องค์กรไทยจำนวนมากไว้ใจและอนุญาตทราฟฟิกที่วิ่งไปยังโดเมนของ Google รวมถึง DoubleClick ทำให้เทคนิคใช้ DoubleClick บังการ redirect สามารถเล็ดลอดการกรองของเกตเวย์อีเมลและ web filter ขององค์กรไทยได้ง่าย เพิ่มโอกาสที่เหยื่อจะถึงหน้าฟิชชิง
การที่ malspam kit ปรับหน้าเพจอัตโนมัติตามอีเมลและแบรนด์ของเหยื่อ ทำให้ฟิชชิงดูน่าเชื่อถือยิ่งขึ้นและกระทบองค์กรไทยได้เป็นวงกว้างด้วยต้นทุนต่ำ โดยเฉพาะเมื่อผู้โจมตีสามารถดึงโลโก้และข้อมูลบริษัทไทยมาประกอบ
นอกจากนี้ DesckVB RAT ที่ใช้ process hollowing และปิด AMSI/ETW เป็นภัยต่อองค์กรไทยที่พึ่ง Microsoft Defender เพราะมัลแวร์ตั้ง exclusion และทำให้ telemetry มืดบอด ทำให้ตรวจจับและสืบสวนยากขึ้นมาก
คำแนะนำ
- ตั้ง GPO ให้สคริปต์เปิดด้วย Notepad — บังคับ .vbs, .hta, .js เปิดด้วย Notepad เพื่อหยุดผู้โจมตีตั้งแต่ขั้นแรก (Huntress แนะนำ)
- ใช้ DMARC, DKIM, SPF — ลดโอกาสอีเมลปลอมหรืออันตรายถึงผู้ใช้
- ใช้ email gateway ที่ sandbox ไฟล์/ลิงก์ — ตรวจไฟล์แนบและลิงก์ก่อนส่งถึงผู้ใช้ เพิ่มชั้นป้องกัน
- เฝ้าระวัง process hollowing — ใช้ EDR ที่ตรวจจับการฉีดโค้ดเข้า process ที่เซ็นรับรอง
- ตรวจ Defender exclusion ที่ผิดปกติ — มองหาการตั้ง exclusion ที่ไม่ได้ทำเอง ซึ่งเป็นสัญญาณของ DesckVB RAT
- ระวังไฟล์ HTML แนบอีเมล — โดยเฉพาะที่ redirect ผ่านโดเมนโฆษณาแล้วให้ดาวน์โหลดไฟล์
