สรุปสั้น

นักวิจัยจากบริษัท Zscaler ThreatLabz ค้นพบแคมเปญมัลแวร์ที่ใช้หน้าเว็บปลอมของธนาคารบราซิลที่น่าจะสร้างด้วยเครื่องมือสร้างเว็บไซต์แบบ AI ร่วมกับเทคนิค ClickFix ที่แสดงหน้าจอ Blue Screen of Death ปลอมเพื่อหลอกเหยื่อให้รันคำสั่ง PowerShell ในกล่อง Windows Run ซึ่งจะดาวน์โหลดและติดตั้ง SmartRAT มัลแวร์ตัวนี้เขียนด้วย PowerShell ทั้งหมดแต่มีความสามารถครบถ้วน ทั้งดักจับ keystrokes, ถ่ายภาพหน้าจอ, แย่งชิง QR code บนหน้าธนาคาร, แสดงฟอร์มธนาคารปลอมเต็มจอ และเข้าควบคุมเครื่องเหยื่อจากระยะไกล

สิ่งที่โดดเด่นคือผู้โจมตีใช้ AI สร้างทั้งหน้าเว็บฟิชชิงและ command-and-control panel แต่ panel ที่สร้างด้วย AI มีช่องโหว่ร้ายแรง — ระบบ login เป็นแบบ client-side ทำให้ใครก็ bypass ได้ง่ายๆ ด้วยการตั้งค่าใน browser local storage สะท้อนถึงอันตรายของการพัฒนาเครื่องมือโจมตีด้วย AI โดยขาดการ review ด้านความปลอดภัย

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 18 มิถุนายน พ.ศ. 2569 ว่านักวิจัยจากบริษัท Zscaler ThreatLabz ตรวจพบแคมเปญมัลแวร์ตั้งแต่เดือนมีนาคม 2569 ที่ใช้หน้าเว็บปลอมของธนาคารบราซิลเป็นจุดเริ่มต้นการโจมตี หน้าเว็บประกอบด้วยหน้าสมัครบัตรเครดิตปลอมและ prompt ยืนยันความปลอดภัยปลอม จากการวิเคราะห์ซอร์สโค้ดของหน้าเว็บ นักวิจัยพบร่องรอยของโค้ดที่สร้างด้วย AI เช่น template comment และโครงสร้างอัตโนมัติที่เป็น output ทั่วไปของเครื่องมือสร้างเว็บไซต์แบบ AI

หน้าเว็บฟิชชิงจะแสดง Cloudflare CAPTCHA ปลอมก่อน จากนั้นแสดง Blue Screen of Death ปลอมเพื่อหลอกเหยื่อว่าระบบ crash แล้วต้องรันคำสั่งเพื่อกู้คืน เทคนิคนี้เรียกว่า ClickFix เมื่อเหยื่อทำตามคำแนะนำ คำสั่ง PowerShell ที่ถูกแอบวางไว้ในคลิปบอร์ดจะถูกวางลงใน Windows Run dialog และเชื่อมต่อไปยังเซิร์ฟเวอร์ C2 เพื่อดาวน์โหลด SmartRAT นักวิจัยยังค้นพบว่า C2 panel ที่ใช้ชื่อ MyGood PRO ก็สร้างด้วย AI เช่นกัน แต่มีช่องโหว่ร้ายแรง คือระบบ login เป็นแบบ client-side ทำให้ bypass ได้ง่ายโดยตั้งค่าใน browser local storage แคมเปญนี้มุ่งเป้าธนาคารและบริการชำระเงินของบราซิลกว่า 12 แห่ง

SmartRAT malware delivered through AI-built Brazilian bank phishing page

วิธีการโจมตี

การติดมัลแวร์เริ่มเมื่อเหยื่อวางคำสั่ง PowerShell ลงใน Windows Run dialog โดยคำสั่งถูกแอบวางในคลิปบอร์ดผ่านหน้าเว็บอันตราย คำสั่งจะเชื่อมต่อไปยัง IP 64[.]95[.]13[.]238 แล้วดาวน์โหลดไฟล์ st.txt ซึ่งเป็น dropper ที่ดึงไฟล์ payload.php ที่มี PowerShell script เข้ารหัส AES มา unpack แล้วรัน SmartRAT

SmartRAT ซ่อนตัวโดยตั้งชื่อไฟล์และ scheduled task ปลอมเป็น Microsoft Edge update ผสมกับ process ปกติของ Windows มัลแวร์พยายามยกสิทธิ์ผ่าน UAC prompt หากได้รับอนุญาตจะติดตั้งเป็น Windows service ด้วยสิทธิ์ SYSTEM แต่หากถูกปฏิเสธก็ยังคงทำงานผ่าน hidden PowerShell process และ registry startup entry ด้าน C2 panel ชื่อ MyGood PRO ให้ผู้โจมตีดู dashboard ของเหยื่อแบบ real-time สามารถ stream หน้าจอ, สลับ QR code บนหน้าธนาคารเพื่อเปลี่ยนเส้นทางการชำระเงิน และแสดงฟอร์มยืนยันตัวตนปลอมเพื่อขโมยรหัสผ่าน

ผลกระทบต่อไทย

แม้แคมเปญนี้มุ่งเป้าธนาคารบราซิลเป็นหลัก แต่เทคนิค ClickFix ที่ใช้หลอกเหยื่อรันคำสั่ง PowerShell เป็นเทคนิคที่สามารถดัดแปลงมุ่งเป้าธนาคารไทยได้ง่าย โดยเฉพาะเมื่อผู้โจมตีใช้ AI สร้างหน้าเว็บปลอมได้รวดเร็ว การที่มัลแวร์ SmartRAT สามารถแย่งชิง QR code บนหน้าธนาคารได้ เป็นภัยคุกคามโดยตรงต่อระบบ PromptPay และ QR payment ที่ใช้อย่างแพร่หลายในไทย ผู้ดูแลระบบควรตระหนักว่าเครื่องมือสร้างมัลแวร์ที่ใช้ AI ทำให้ผู้โจมตีที่ไม่มีทักษะสูงสามารถสร้างแคมเปญโจมตีที่ซับซ้อนได้

คำแนะนำ

ผู้ใช้ควรระวังเว็บไซต์ที่ขอให้วางคำสั่งลงในเครื่อง แม้จะดูเหมือนหน้าธนาคารหรือ security prompt จริงก็ตาม ผู้ดูแลระบบควรตรวจสอบ PowerShell execution ที่ผิดปกติ, scheduled task ที่ไม่รู้จัก และการเชื่อมต่อออกไปยัง IP ที่ไม่คุ้นเคย ควร block IoCs ที่ระบุไว้ด้านล่างใน firewall และ SIEM และใช้ endpoint protection ที่ตรวจจับ script-based threat ได้

Indicators of Compromise (IoCs)

ประเภทIndicatorรายละเอียด
Domaincrefisa[.]onlineโดเมนฟิชชิงปลอม
Domainvfsgloball[.]netโดเมนฟิชชิงปลอม
Domaincartaobb[.]comโดเมนปลอมเลียนแบบธนาคารบราซิล
Domainwindowsupdate-cdn[.]comโดเมน C2 ของ SmartRAT
IP Address64[.]95[.]13[.]238IP ของ C2 สำหรับ payload delivery
IP Address162[.]141[.]111[.]227IP สำรองของ C2
MD5 Hash297eb45f028d44d750297d2f932b9c91st.txt (PowerShell dropper)
MD5 Hash6bf4d4c62b5138ace281ce3d08297787payload.php (encrypted loader)
MD5 Hash3c72e1f37f115b00c3ad6ed31bacfe8aPowerShell RAT (SmartRAT)
MD5 Hashb17ccdb5531555e43f082d6e77c07227PowerShell RAT (SmartRAT variant)

หมายเหตุ: IP address และ domain ถูก defang แล้ว (เช่น [.]) เพื่อป้องกันการเข้าถึงโดยไม่ตั้งใจ ให้ re-fang เฉพาะในแพลตฟอร์ม threat intelligence เช่น MISP, VirusTotal หรือ SIEM เท่านั้น

แหล่งอ้างอิง