สรุปสั้น

อาชญากรไซเบอร์พบวิธีใหม่ที่แยบยลในการฉวยโอกาสจากความนิยมที่เพิ่มขึ้นของเครื่องมือ AI สำหรับนักพัฒนา โดยแคมเปญที่เพิ่งถูกระบุใช้หน้าปลอมเลียนแบบ Claude Code และ OpenAI Codex ที่โฮสต์บนโครงสร้าง Google Sites ที่น่าเชื่อถือ เพื่อหลอกให้ผู้ใช้รันคำสั่งที่แอบขโมย credential และข้อมูลส่วนตัวสำคัญอื่นจากอุปกรณ์อย่างเงียบ ๆ

การโจมตีใช้เทคนิคที่เรียกว่า ClickFix ซึ่งแสดงหน้าที่ดูเหมือนหน้าติดตั้งที่ถูกต้องและบอกให้เหยื่อรันคำสั่งสั้น ๆ โดยไม่มีไฟล์ถูกดาวน์โหลดในรูปแบบดั้งเดิม แต่ปฏิบัติการอันตรายทั้งหมดทำงานเงียบ ๆ ในหน่วยความจำ ทำให้เครื่องมือความปลอดภัยมาตรฐานจับได้ยากขึ้นมาก โดยนักวิเคราะห์จากบริษัท ANY.RUN ระบุว่าได้พบแคมเปญ ClickFix ที่ปลอมเป็นเครื่องมือ AI ยอดนิยมทั้ง Codex และ Claude

สิ่งที่ทำให้แคมเปญนี้โดดเด่นคือการกลมกลืน เพราะหน้า Google Sites มีความน่าเชื่อถือของโดเมน Google ที่ถูกต้อง และผู้ใช้ส่วนใหญ่จะไม่คิดสองครั้งก่อนทำตามคำแนะนำบนหน้าเช่นนั้น ผลกระทบรุนแรง เพราะข้อมูลที่ถูกขโมยรวมถึงรหัสผ่านเบราว์เซอร์ที่บันทึกไว้ credential อีเมล และข้อมูล wallet คริปโต ซึ่งถูกส่งไปยังเซิร์ฟเวอร์ของผู้โจมตี โดยนักพัฒนาและมืออาชีพที่ทำงานกับเครื่องมือ AI เป็นประจำมีความเสี่ยงสูงเป็นพิเศษ

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 4 มิถุนายน 2569 ว่าบริษัท ANY.RUN พบแคมเปญ ClickFix ที่ใช้ตัวติดตั้ง Claude Code และ Codex ปลอมบน Google Sites เพื่อส่งมัลแวร์ขโมย credential โดยอาศัยความน่าเชื่อถือของแพลตฟอร์ม Google

เหยื่อถูกนำไปยังหน้า Google Sites ที่ออกแบบให้ดูเหมือนคู่มือติดตั้ง Claude Code หรือ Codex ที่ถูกต้อง เมื่อถึงหน้านั้นจะถูกบอกให้รันคำสั่ง mshta ซึ่งเป็นยูทิลิตีในตัวของ Windows เพื่อ “ทำการติดตั้งให้เสร็จ” การกระทำเพียงครั้งเดียวนี้คือทั้งหมดที่ต้องใช้ในการเริ่มห่วงโซ่การโจมตี จากนั้นลำดับ PowerShell หลายขั้นจะเริ่มทำงานในเบื้องหลัง

หนึ่งในองค์ประกอบที่น่าสนใจทางเทคนิคของแคมเปญนี้คือการใช้ steganography ที่ซ่อน payload อันตรายไว้ในไฟล์รูปภาพและสกัดออกมาเฉพาะตอน runtime จากนั้น shellcode จะถูก deploy และรันทั้งหมดภายใน process ของ PowerShell ที่กำลังทำงาน โดยไม่แตะดิสก์ในแบบที่แอนติไวรัสดั้งเดิมจะตั้งธง ห่วงโซ่การทำงานเคลื่อนไหวเร็วและเงียบ คือ หน้า Google Sites นำไปสู่คำสั่ง mshta ซึ่งกระตุ้น PowerShell staging ที่สกัด payload ซ่อนจากรูป และรัน shellcode ในหน่วยความจำก่อนดึงข้อมูลเบราว์เซอร์ credential อีเมล และข้อมูล wallet แล้วส่งออกไปยังเซิร์ฟเวอร์ของผู้โจมตี

นักวิจัยตั้งข้อสังเกตว่าเนื่องจากกิจกรรมเครือข่ายปรากฏเป็นทราฟฟิก PowerShell ปกติ การโจมตีจึงลดการมองเห็นในช่วงแรกสุดของการบุกรุกระบบได้อย่างมาก โดยการผสานแพลตฟอร์มโฮสติงที่น่าเชื่อถือ เหยื่อล่อที่น่าเชื่อ และ payload ที่ทำงานในหน่วยความจำทั้งหมด ทำให้ผู้โจมตีได้เปรียบเหนือเป้าหมายอย่างมีนัยสำคัญ

วิธีการโจมตี

แกนของการโจมตีคือเทคนิค ClickFix ที่หลอกให้เหยื่อ “แก้ปัญหา” หรือ “ติดตั้ง” ด้วยตัวเอง โดยแสดงหน้า Google Sites ที่ดูเหมือนคู่มือติดตั้ง Claude Code/Codex แล้วบอกให้รันคำสั่ง mshta ซึ่งเหยื่อ (โดยเฉพาะนักพัฒนา) คุ้นเคยกับการติดตั้งผ่าน command line จึงทำตามโดยไม่ลังเล

เมื่อรัน mshta แล้ว ลำดับ PowerShell หลายขั้นจะเริ่มทำงานในเบื้องหลัง จุดเด่นคือการใช้ steganography ซ่อน shellcode ไว้ในพิกเซลของรูปภาพแทนการใช้ไฟล์ executable เดี่ยว ซึ่งลดจำนวน artifact ที่ทิ้งไว้บนเครื่องเหยื่อ ทำให้ทีม SOC มีข้อมูลให้สืบสวนภายหลังน้อยมาก จากนั้น shellcode ถูกสกัดและรันทั้งหมดในหน่วยความจำของ PowerShell โดยไม่แตะดิสก์

เนื่องจาก process อันตรายรันภายในโปรแกรม Windows ที่ถูกกฎหมายอย่าง PowerShell เครื่องมือ network monitoring จึงอาจตีความทราฟฟิกขาออกว่าเป็นกิจกรรมปกติ ระดับการพรางตัวนี้คือสิ่งที่ทำให้แคมเปญนี้ป้องกันยากหากไม่มีการตรวจจับเชิงพฤติกรรม สุดท้ายมัลแวร์จะดึงรหัสผ่านเบราว์เซอร์ credential อีเมล และข้อมูล wallet คริปโต ส่งออกไปยังเซิร์ฟเวอร์ของผู้โจมตี

ผลกระทบต่อไทย

ชุมชนนักพัฒนาในไทยที่หันมาใช้เครื่องมือ AI อย่าง Claude Code และ Codex เติบโตอย่างรวดเร็ว ทำให้แคมเปญที่ปลอมเป็นตัวติดตั้งเครื่องมือเหล่านี้เป็นภัยโดยตรง โดยเฉพาะนักพัฒนาที่คุ้นเคยกับการรันคำสั่ง command line จึงมีแนวโน้มทำตามคำสั่งโดยไม่ระวัง

การใช้ Google Sites ที่องค์กรไทยไว้ใจและอนุญาตผ่าน web filter ทำให้หน้าฟิชชิงเล็ดลอดการกรองได้ง่าย ขณะที่การทำงานแบบ fileless และใช้ steganography ทำให้แอนติไวรัสแบบ signature ขององค์กรไทยตรวจไม่เจอ ต้องพึ่งการตรวจจับเชิงพฤติกรรมเท่านั้น

ความเสียหายต่อนักพัฒนาไทยอาจรุนแรง เพราะข้อมูลที่ถูกขโมยรวมถึง credential ที่อาจเข้าถึงระบบขององค์กร รวมถึง wallet คริปโต ซึ่งเมื่อรวมกับการที่ ClickFix กำลังเป็นเทคนิคยอดนิยม ทำให้องค์กรไทยต้องเร่งสร้างความตระหนักเรื่อง “อย่าก็อปคำสั่งไปรันตามหน้าเว็บ”

คำแนะนำ

  1. ระวังหน้าเว็บที่ให้ก็อปคำสั่งไปรัน — ถือเป็นสัญญาณอันตรายสูง แม้หน้าจะดูเป็นทางการหรืออยู่บน Google Sites
  2. ติดตั้งเครื่องมือจากแหล่งทางการเท่านั้น — ตรวจสอบคำสั่งติดตั้งจากเอกสารทางการหรือ GitHub repo ต้นฉบับ ไม่ใช่จากผลค้นหาหรือเว็บแปลกหน้า
  3. ใช้ EDR ที่ตรวจจับเชิงพฤติกรรม — เพื่อจับ PowerShell ที่น่าสงสัยแม้ไม่มีไฟล์มัลแวร์เขียนลงดิสก์
  4. เฝ้าระวัง mshta.exe และ PowerShell ผิดปกติ — โดยเฉพาะที่ตามมาด้วยการเชื่อมต่อออกภายนอก
  5. อบรมนักพัฒนาเรื่อง ClickFix — เน้นว่าการก็อปคำสั่งจากเว็บไปรันเป็นช่องทางโจมตีที่กำลังระบาด
  6. จำกัดการรัน mshta/PowerShell — ใช้ application control หรือ constrained language mode หากเป็นไปได้

Indicators of Compromise (IoCs)

ประเภทตัวบ่งชี้คำอธิบาย
URLsites[.]google[.]com/view/clau-ver-un-24หน้า Google Sites ปลอมเลียนแบบตัวติดตั้ง Claude Code
Processmshta.exeยูทิลิตี Windows ที่ถูกใช้เริ่มห่วงโซ่ ClickFix
Processpowershell.exeใช้ส่ง payload หลายขั้นและรัน shellcode ในหน่วยความจำ
TacticClickFix via Google Sitesเหยื่อล่อ social engineering ให้รันคำสั่ง mshta
Data Targetเบราว์เซอร์, อีเมล, wallet คริปโตประเภท credential ที่ถูกขโมยส่งไป C2

หมายเหตุ: ต้นฉบับไม่ได้ให้ hash/IP/โดเมนเต็มในรูปที่สกัดได้โดยตรง ตัวบ่งชี้ข้างต้นมาจาก sandbox ของ ANY.RUN — ใช้ร่วมกับการตรวจจับเชิงพฤติกรรม เพราะแคมเปญทำงานแบบ fileless

แหล่งอ้างอิง