สรุปสั้น
นักวิจัยจากบริษัท Zscaler ThreatLabz ค้นพบแคมเปญมัลแวร์ที่ใช้หน้าเว็บปลอมของธนาคารบราซิลที่น่าจะสร้างด้วยเครื่องมือสร้างเว็บไซต์แบบ AI ร่วมกับเทคนิค ClickFix ที่แสดงหน้าจอ Blue Screen of Death ปลอมเพื่อหลอกเหยื่อให้รันคำสั่ง PowerShell ในกล่อง Windows Run ซึ่งจะดาวน์โหลดและติดตั้ง SmartRAT มัลแวร์ตัวนี้เขียนด้วย PowerShell ทั้งหมดแต่มีความสามารถครบถ้วน ทั้งดักจับ keystrokes, ถ่ายภาพหน้าจอ, แย่งชิง QR code บนหน้าธนาคาร, แสดงฟอร์มธนาคารปลอมเต็มจอ และเข้าควบคุมเครื่องเหยื่อจากระยะไกล
สิ่งที่โดดเด่นคือผู้โจมตีใช้ AI สร้างทั้งหน้าเว็บฟิชชิงและ command-and-control panel แต่ panel ที่สร้างด้วย AI มีช่องโหว่ร้ายแรง — ระบบ login เป็นแบบ client-side ทำให้ใครก็ bypass ได้ง่ายๆ ด้วยการตั้งค่าใน browser local storage สะท้อนถึงอันตรายของการพัฒนาเครื่องมือโจมตีด้วย AI โดยขาดการ review ด้านความปลอดภัย
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 18 มิถุนายน พ.ศ. 2569 ว่านักวิจัยจากบริษัท Zscaler ThreatLabz ตรวจพบแคมเปญมัลแวร์ตั้งแต่เดือนมีนาคม 2569 ที่ใช้หน้าเว็บปลอมของธนาคารบราซิลเป็นจุดเริ่มต้นการโจมตี หน้าเว็บประกอบด้วยหน้าสมัครบัตรเครดิตปลอมและ prompt ยืนยันความปลอดภัยปลอม จากการวิเคราะห์ซอร์สโค้ดของหน้าเว็บ นักวิจัยพบร่องรอยของโค้ดที่สร้างด้วย AI เช่น template comment และโครงสร้างอัตโนมัติที่เป็น output ทั่วไปของเครื่องมือสร้างเว็บไซต์แบบ AI
หน้าเว็บฟิชชิงจะแสดง Cloudflare CAPTCHA ปลอมก่อน จากนั้นแสดง Blue Screen of Death ปลอมเพื่อหลอกเหยื่อว่าระบบ crash แล้วต้องรันคำสั่งเพื่อกู้คืน เทคนิคนี้เรียกว่า ClickFix เมื่อเหยื่อทำตามคำแนะนำ คำสั่ง PowerShell ที่ถูกแอบวางไว้ในคลิปบอร์ดจะถูกวางลงใน Windows Run dialog และเชื่อมต่อไปยังเซิร์ฟเวอร์ C2 เพื่อดาวน์โหลด SmartRAT นักวิจัยยังค้นพบว่า C2 panel ที่ใช้ชื่อ MyGood PRO ก็สร้างด้วย AI เช่นกัน แต่มีช่องโหว่ร้ายแรง คือระบบ login เป็นแบบ client-side ทำให้ bypass ได้ง่ายโดยตั้งค่าใน browser local storage แคมเปญนี้มุ่งเป้าธนาคารและบริการชำระเงินของบราซิลกว่า 12 แห่ง

วิธีการโจมตี
การติดมัลแวร์เริ่มเมื่อเหยื่อวางคำสั่ง PowerShell ลงใน Windows Run dialog โดยคำสั่งถูกแอบวางในคลิปบอร์ดผ่านหน้าเว็บอันตราย คำสั่งจะเชื่อมต่อไปยัง IP 64[.]95[.]13[.]238 แล้วดาวน์โหลดไฟล์ st.txt ซึ่งเป็น dropper ที่ดึงไฟล์ payload.php ที่มี PowerShell script เข้ารหัส AES มา unpack แล้วรัน SmartRAT
SmartRAT ซ่อนตัวโดยตั้งชื่อไฟล์และ scheduled task ปลอมเป็น Microsoft Edge update ผสมกับ process ปกติของ Windows มัลแวร์พยายามยกสิทธิ์ผ่าน UAC prompt หากได้รับอนุญาตจะติดตั้งเป็น Windows service ด้วยสิทธิ์ SYSTEM แต่หากถูกปฏิเสธก็ยังคงทำงานผ่าน hidden PowerShell process และ registry startup entry ด้าน C2 panel ชื่อ MyGood PRO ให้ผู้โจมตีดู dashboard ของเหยื่อแบบ real-time สามารถ stream หน้าจอ, สลับ QR code บนหน้าธนาคารเพื่อเปลี่ยนเส้นทางการชำระเงิน และแสดงฟอร์มยืนยันตัวตนปลอมเพื่อขโมยรหัสผ่าน
ผลกระทบต่อไทย
แม้แคมเปญนี้มุ่งเป้าธนาคารบราซิลเป็นหลัก แต่เทคนิค ClickFix ที่ใช้หลอกเหยื่อรันคำสั่ง PowerShell เป็นเทคนิคที่สามารถดัดแปลงมุ่งเป้าธนาคารไทยได้ง่าย โดยเฉพาะเมื่อผู้โจมตีใช้ AI สร้างหน้าเว็บปลอมได้รวดเร็ว การที่มัลแวร์ SmartRAT สามารถแย่งชิง QR code บนหน้าธนาคารได้ เป็นภัยคุกคามโดยตรงต่อระบบ PromptPay และ QR payment ที่ใช้อย่างแพร่หลายในไทย ผู้ดูแลระบบควรตระหนักว่าเครื่องมือสร้างมัลแวร์ที่ใช้ AI ทำให้ผู้โจมตีที่ไม่มีทักษะสูงสามารถสร้างแคมเปญโจมตีที่ซับซ้อนได้
คำแนะนำ
ผู้ใช้ควรระวังเว็บไซต์ที่ขอให้วางคำสั่งลงในเครื่อง แม้จะดูเหมือนหน้าธนาคารหรือ security prompt จริงก็ตาม ผู้ดูแลระบบควรตรวจสอบ PowerShell execution ที่ผิดปกติ, scheduled task ที่ไม่รู้จัก และการเชื่อมต่อออกไปยัง IP ที่ไม่คุ้นเคย ควร block IoCs ที่ระบุไว้ด้านล่างใน firewall และ SIEM และใช้ endpoint protection ที่ตรวจจับ script-based threat ได้
Indicators of Compromise (IoCs)
| ประเภท | Indicator | รายละเอียด |
|---|---|---|
| Domain | crefisa[.]online | โดเมนฟิชชิงปลอม |
| Domain | vfsgloball[.]net | โดเมนฟิชชิงปลอม |
| Domain | cartaobb[.]com | โดเมนปลอมเลียนแบบธนาคารบราซิล |
| Domain | windowsupdate-cdn[.]com | โดเมน C2 ของ SmartRAT |
| IP Address | 64[.]95[.]13[.]238 | IP ของ C2 สำหรับ payload delivery |
| IP Address | 162[.]141[.]111[.]227 | IP สำรองของ C2 |
| MD5 Hash | 297eb45f028d44d750297d2f932b9c91 | st.txt (PowerShell dropper) |
| MD5 Hash | 6bf4d4c62b5138ace281ce3d08297787 | payload.php (encrypted loader) |
| MD5 Hash | 3c72e1f37f115b00c3ad6ed31bacfe8a | PowerShell RAT (SmartRAT) |
| MD5 Hash | b17ccdb5531555e43f082d6e77c07227 | PowerShell RAT (SmartRAT variant) |
หมายเหตุ: IP address และ domain ถูก defang แล้ว (เช่น [.]) เพื่อป้องกันการเข้าถึงโดยไม่ตั้งใจ ให้ re-fang เฉพาะในแพลตฟอร์ม threat intelligence เช่น MISP, VirusTotal หรือ SIEM เท่านั้น
