สรุปสั้น
แฮ็กเกอร์กำลังสร้างเว็บไซต์ปลอมที่ดูน่าเชื่อถือเลียนแบบเครื่องมือความปลอดภัยยอดนิยมเพื่อหลอกให้ผู้ใช้ดาวน์โหลดมัลแวร์ แทนที่จะเป็นหน้าฟิชชิงที่ดูออกชัด เว็บเหล่านี้กลับดูแทบเหมือนพอร์ทัลโปรเจกต์จริง มีดีไซน์มืออาชีพและลิงก์ที่ชี้ไปยัง GitHub repository จริง แต่ทันทีที่ผู้ใช้คลิกปุ่มดาวน์โหลด สิ่งที่เกิดขึ้นเบื้องหลังกลับต่างออกไปมาก
แทนที่จะได้ซอฟต์แวร์ที่มาหา เหยื่อจะถูกส่งผ่านชั้นกรองทราฟฟิกที่ซ่อนอยู่ซึ่งเรียกว่า Traffic Distribution System (TDS) ระบบนี้ทำหน้าที่เป็นด่านตัดสินว่าผู้ใช้คนใดถูก redirect ไปยังมัลแวร์และคนใดได้ไฟล์ที่ไม่มีพิษภัย โดยคัดกรองตามตำแหน่ง ประเภทเบราว์เซอร์ การใช้ VPN และว่ามีนักวิจัยความปลอดภัยกำลังเฝ้าดูหรือไม่ ทำให้ตรวจจับหรือจับได้ยากมาก
นักวิเคราะห์จากบริษัท Check Point Research สืบสวนแคมเปญขนาดใหญ่นี้และพบว่าเว็บปลอมโหลด JavaScript ที่โฮสต์บนเครือข่าย CloudFront ของ Amazon ซึ่งดักการคลิกดาวน์โหลดครั้งแรกแล้วส่งผู้ใช้ต่อไปยัง TDS อย่างเงียบ ๆ โดย Check Point ระบุว่าปฏิบัติการนี้มุ่งเป้าเครื่องมือที่นักวิจัยความปลอดภัยไว้ใจโดยเฉพาะ ทั้ง Ghidra, dnSpy และ SpiderFoot ซึ่งเป็นเรื่องน่ากังวลเพราะมุ่งเป้าคนที่ถูกฝึกมาให้จับภัยเหล่านี้
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 4 มิถุนายน 2569 ว่าบริษัท Check Point Research เปิดโปงแคมเปญที่ใช้เว็บปลอมเลียนแบบ Ghidra, dnSpy และ SpiderFoot แจกมัลแวร์ผ่าน TDS ที่คัดกรองเหยื่ออย่างพิถีพิถัน
แคมเปญนี้เคลื่อนไหวมาตั้งแต่อย่างน้อยเดือนธันวาคม 2568 โดยมีการยืนยันการส่งมัลแวร์ตั้งแต่ต้นเดือนมกราคม 2569 ข้อมูล telemetry จาก VirusTotal แสดงการส่งตัวอย่างที่เกี่ยวข้องกว่า 5,000 ครั้ง และนักวิจัยระบุว่าการเปิดรับภัยจริงน่าจะสูงกว่านั้นมาก โดยพบเว็บปลอมที่ยังทำงานกว่า 100 แห่งในคลัสเตอร์นี้ ทั้งหมดใช้สคริปต์ที่โฮสต์บน CloudFront และตัวระบุแคมเปญเดียวกัน เว็บอย่าง ghidralite[.]com และ dnspy[.]org ปรากฏใกล้อันดับต้นของผลค้นหา Google ทำให้ดูมีความน่าเชื่อถือเทียม
เมื่อผู้ใช้เอาเมาส์ชี้ที่ปุ่มดาวน์โหลด แถบสถานะของเบราว์เซอร์ยังแสดง URL ของ GitHub จริง ทำให้ผู้ใช้ที่ระมัดระวังอาจไม่สังเกตว่ามีอะไรผิดปกติ JavaScript ที่เว็บเหล่านี้โหลดจะฟังการโต้ตอบครั้งแรกของผู้ใช้และดักไว้ก่อนที่การนำทางปกติจะเกิดขึ้น (บน Chrome จับ mousedown event บน Firefox ใช้ click event) จากนั้นสร้าง TDS runtime URL redirect ผู้ใช้อย่างเงียบ ๆ และยกเลิกการนำทางเดิมทั้งหมด เหยื่อจึงไปจบที่อื่นโดยสิ้นเชิงและกระบวนการทั้งหมดมองไม่เห็น
payload สุดท้ายมี 3 ตระกูลที่แตกต่างกัน ตัวแรก RemusStealer เป็น infostealer ที่เพิ่งโผล่ มุ่งเป้าข้อมูลจากเบราว์เซอร์กว่า 20 ตัว รวมถึง wallet คริปโต password manager และเครื่องมือ 2FA ตัวที่สอง AnimateClipper เฝ้าดู clipboard อย่างเงียบ ๆ และสลับที่อยู่ wallet ที่ก็อปไว้กับที่อยู่ของผู้โจมตี อาจเปลี่ยนเส้นทางเงินจริงโดยเหยื่อไม่รู้ตัว และตัวที่สาม SessionGate เป็น multi-stage loader ที่ obfuscate หนักและส่ง key ครั้งเดียว ทำให้นักวิเคราะห์ตรวจสอบยากอย่างยิ่ง

วิธีการโจมตี
แกนของแคมเปญคือเว็บปลอมที่เลียนแบบพอร์ทัลโปรเจกต์เครื่องมือความปลอดภัยอย่างแนบเนียน รวมถึงลิงก์ที่ชี้ GitHub จริงและ URL ที่แสดงบน status bar เป็น GitHub จริง ทำให้แม้ผู้ใช้ที่ระวังก็หลงได้ เมื่อคลิกดาวน์โหลด JavaScript จาก CloudFront จะดักการคลิกครั้งแรก สร้าง TDS runtime URL แล้ว redirect เงียบ ๆ พร้อมยกเลิกการนำทางเดิม
TDS ทำหน้าที่กรองว่าใครได้มัลแวร์ใครได้ไฟล์ไม่มีพิษ โดยดูตำแหน่ง เบราว์เซอร์ VPN และสัญญาณว่าเป็นนักวิจัย ทำให้หลบการวิเคราะห์ได้ดี ในบรรดา payload ทั้งหมด SessionGate ต้านการวิเคราะห์หนักที่สุด ไฟล์เริ่มต้นเป็น 7-Zip ราว 20 MB แต่ executable จริงข้างในมีเพียง 15 MB ที่เหลือ 5 MB เป็น loader code ที่ obfuscate เพื่อทำลายเครื่องมืออย่าง decompiler ของ IDA ฟังก์ชันอาจใหญ่เกิน 500 KB และมีสตริงเข้ารหัสฝังในส่วนโค้ดเพื่อสับสน disassembler
จุดที่ทำให้ SessionGate วิเคราะห์ยากเป็นพิเศษคือ key ถอดรหัสของ payload ขั้นสุดท้ายถูกสร้างฝั่งเซิร์ฟเวอร์และปล่อยเพียงครั้งเดียวต่อเซสชันเหยื่อ หากนักวิจัยพยายาม replay จาก IP อื่น เซิร์ฟเวอร์จะคืน key ที่ดูถูกต้องแต่ใช้ไม่ได้ ทำให้ payload อ่านไม่ออกเลย ส่วน AnimateClipper ใช้เทคนิคสลับที่อยู่ wallet ใน clipboard เพื่อขโมยเงินคริปโต
ผลกระทบต่อไทย
นักวิจัยความปลอดภัย นักวิเคราะห์มัลแวร์ และผู้เชี่ยวชาญ reverse engineering ในไทยที่ใช้เครื่องมืออย่าง Ghidra, dnSpy และ SpiderFoot เป็นเป้าหมายโดยตรงของแคมเปญนี้ ซึ่งน่ากังวลเพราะเป็นการมุ่งเป้าคนที่ควรจะรู้เท่าทันภัยมากที่สุด
ความอันตรายคือเว็บปลอมปรากฏใกล้อันดับต้นของผลค้นหา Google และแสดง URL GitHub จริงบน status bar ทำให้ผู้ใช้ไทยที่ค้นหาเครื่องมือเหล่านี้อาจหลงดาวน์โหลด ขณะที่ TDS ก็คัดกรองให้ส่งมัลแวร์เฉพาะเหยื่อที่ “น่าสนใจ” ทำให้ตรวจจับได้ยาก
payload ทั้งสามตระกูลกระทบผู้ใช้ไทยรุนแรง ทั้ง RemusStealer ที่ขโมยข้อมูลเบราว์เซอร์และ wallet, AnimateClipper ที่สลับที่อยู่ wallet ขโมยเงินคริปโต และ SessionGate ที่ฝังตัวยาก ทำให้องค์กรและนักวิจัยไทยต้องระวังการดาวน์โหลดเครื่องมือจากแหล่งที่ไม่เป็นทางการ
คำแนะนำ
- ดาวน์โหลดเครื่องมือจากหน้าโปรเจกต์ทางการเท่านั้น — หรือ repository ที่ยืนยันแล้ว ไม่ใช่จากผลค้นหา Google
- ตรวจสอบ file hash หลังดาวน์โหลด — เทียบกับค่าที่โปรเจกต์ทางการเผยแพร่
- อย่าเชื่อ URL บน status bar เพียงอย่างเดียว — เพราะแคมเปญนี้แสดง GitHub URL จริงเพื่อหลอก
- เฝ้าระวังการเชื่อมต่อไป C2 ที่ระบุ — บล็อกโดเมน RemusStealer/AnimateClipper/SessionGate ที่เผยแพร่
- ระวังที่อยู่ wallet ที่ก็อป — ตรวจสอบที่อยู่คริปโตอีกครั้งก่อนโอน เพราะ AnimateClipper สลับ clipboard
- ใช้ EDR และ sandbox วิเคราะห์ไฟล์ที่ดาวน์โหลด — โดยเฉพาะไฟล์ 7-Zip/installer ขนาดผิดปกติ
Indicators of Compromise (IoCs)
| ประเภท | ตัวบ่งชี้ | คำอธิบาย |
|---|---|---|
| Domain | ghidralite[.]com | เว็บปลอมเลียนแบบ Ghidra |
| Domain | dnspy[.]org | เว็บปลอมเลียนแบบ dnSpy |
| Domain | ilspy[.]org | เว็บปลอมเลียนแบบ ILSpy |
| Domain | appfreshstart[.]com / appgetonline[.]com / webinnosetup[.]com | C2 ของ SessionGate |
| Domain | flame-guard[.]cc / carlessclapped[.]com / hugo-lapp[.]lat | C2 ของ AnimateClipper |
| URL | hxxp://buccstanor[.]pics:28313 / baxe[.]pics:48261 | C2 ของ RemusStealer |
| SHA-256 | 39dc2327fe1e5a56ac5ad9dc02f0386cff3d83dcfdc558cacba42ebb9dcc5ec2 | RemusStealer |
| SHA-256 | e6a1a428a7c09c9946f7c0179d89b263f442dc3208b5144a9146c200e4185bd6 | AnimateClipper |
| SHA-256 | 598b023e56c45b19173e8f96c1c88036d732fec305cf6bf1b9cf4dbe304beb7f | SessionGate Stage 1 |
| Domain | oundhertobeconsist[.]org | โดเมน TDS redirector |
หมายเหตุ: IP และโดเมนถูก defang โดยเจตนา (เช่น
[.]) ให้ re-fang เฉพาะในแพลตฟอร์ม threat intelligence ที่ควบคุมได้ เช่น MISP, VirusTotal หรือ SIEM
