สรุปสั้น
แฮ็กเกอร์กำลังใช้โฆษณา Google Ads ปลอมเพื่อผลักดันตัวโหลดมัลแวร์ตัวใหม่ที่ปลอมตัวเป็นตัวติดตั้ง Node.js ยอดนิยม แคมเปญนี้พุ่งเป้าไปที่ผู้ใช้ Windows ในสหรัฐอเมริกาอย่างต่อเนื่อง โดยปล่อย infostealer อันตรายลงเครื่องอย่างเงียบ ๆ หลังเหยื่อคลิกผลการค้นหาแบบสปอนเซอร์ที่ดูเหมือนถูกต้องตามกฎหมายเพียงครั้งเดียว การโจมตีนี้อาศัยพฤติกรรมที่คนนับล้านทำทุกวันคือการค้นหาซอฟต์แวร์ออนไลน์และไว้ใจผลลัพธ์อันดับต้น ๆ ในกรณีนี้ผู้โจมตีตั้งหน้า landing page อันตรายที่สร้างให้ดูเหมือนแพลตฟอร์ม Node.js ทางการ
เมื่อเหยื่อคลิกโฆษณาสปอนเซอร์ จะถูกเปลี่ยนทางอย่างเงียบ ๆ ผ่านโดเมนตัวกลางไปดาวน์โหลดสคริปต์ batch ของ Windows ที่โฮสต์บนบริการแชร์ไฟล์คลาวด์ถูกกฎหมาย ทำให้เครื่องมือความปลอดภัยตรวจจับได้ยากขึ้นมาก นักวิจัยจาก Elastic Security Labs ระบุแคมเปญที่ยังทำงานอยู่นี้และยืนยันว่ามันเล็งลูกค้าของบริษัทเองรายหนึ่ง โดยตัวโหลดถูกติดตามในชื่อ OXLOADER ซึ่งไม่เคยถูกบันทึกสาธารณะมาก่อนและมีอัตราการตรวจจับต่ำมากทั้งจากแอนติไวรัสแบบ static และ sandbox อัตโนมัติ payload สุดท้ายคือ infostealer ชื่อ CASTLESTEALER ซึ่งเป็นมัลแวร์ฐาน .NET ที่เก็บเกี่ยวข้อมูลสำคัญจากระบบที่ติดมัลแวร์
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 22 มิถุนายน พ.ศ. 2569 ว่า บริษัท Elastic Security Labs ได้เปิดเผยแคมเปญ malvertising ที่ใช้ Google Ads ปลอมปล่อยตัวโหลด OXLOADER โดยแคมเปญนี้ทำงานผ่าน Google Ads และบัญชีผู้โฆษณาอันตรายถูกลงทะเบียนภายใต้ชื่อที่ผ่านการยืนยันซึ่งเชื่อมโยงกับยูเครน โฆษณาปรากฏครั้งสุดท้ายเมื่อวันที่ 23 เมษายน 2026 และภายในวันที่ 14 พฤษภาคม 2026 Google ได้ลบผู้โฆษณาและแคมเปญที่เกี่ยวข้องทั้งหมดออกไป
ห่วงโซ่การติดเชื้อมัลแวร์เริ่มต้นเมื่อผู้ใช้ค้นหาตัวติดตั้ง Node.js และคลิกผลลัพธ์แบบสปอนเซอร์ การคลิกนั้นส่งเหยื่อไปยังหน้า landing page ปลอมที่สร้างให้เลียนแบบสภาพแวดล้อม Node.js จริง จากนั้นการเปลี่ยนทางผ่านโดเมนตัวกลางจะส่งสคริปต์ batch ที่โฮสต์บน Storj ซึ่งเป็นบริการจัดเก็บคลาวด์ถูกกฎหมายที่ผู้โจมตีจงใจนำมาใช้เพื่อเลี่ยงตัวกรองแบบอิงชื่อเสียง (reputation-based filtering) สคริปต์ batch ยังแสดงตัวช่วยติดตั้งซอฟต์แวร์ปลอมที่ดูน่าเชื่อถือ ทำให้เหยื่อไม่มีเหตุสงสัย ขณะที่เบื้องหลังมันกำลังดาวน์โหลด executable ขั้นถัดไปด้วย PowerShell และกระตุ้น UAC ของ Windows เพื่อขอสิทธิ์ระบบที่สูงขึ้น
นักวิจัยยังพบ OXLOADER สายพันธุ์ที่สองเมื่อวันที่ 13 พฤษภาคม 2026 ครั้งนี้ปลอมเป็นไบนารีตัวติดตั้ง Node.js แทนที่จะเป็น API Monitor แม้กลไกตัวโหลดเบื้องหลังจะเหมือนกันทุกประการ โดยไฟล์ยังคงคำว่า “node” ไว้ในชื่อไฟล์เพื่อรักษาธีมของเหยื่อล่อที่แคมเปญใช้มาตลอด


วิธีการหลบเลี่ยงการตรวจจับ
OXLOADER ถูกสร้างมาโดยมีการหลบเลี่ยงเป็นคุณสมบัติหลัก ก่อนรันสิ่งใดที่มีความหมาย มันจะทำการตรวจสอบ 5 อย่างเพื่อยืนยันว่าไม่ได้ทำงานอยู่ในแซนด์บ็อกซ์หรือเครื่องเสมือน ได้แก่ ตรวจว่ามี CPU อย่างน้อย 3 คอร์ มี RAM กายภาพอย่างน้อย 3 GB อัตรารีเฟรชจอภาพสูงกว่า 20 Hz และยืนยันว่าระบบไม่ได้อยู่ในภูมิภาค CIS หรือตั้งค่าภาษารัสเซีย
ตัวโหลดยังใช้เทคนิคอำพรางที่ซับซ้อนซึ่งทำลายเครื่องมือวิเคราะห์ไบนารีมาตรฐาน ทำให้การ reverse engineering ช้าและยาก มันซ่อนโค้ดอันตรายไว้ในส่วน .reloc ของ Windows ซึ่งเป็นพื้นที่ที่โปรแกรมถูกกฎหมายไม่เคยใช้เก็บคำสั่งที่รันได้ และคลายตัวเองในหน่วยความจำด้วยรูทีนถอดรหัสแบบ self-modifying payload สุดท้ายคือ CASTLESTEALER ถูกส่งทั้งหมดในหน่วยความจำด้วยตัวสร้าง shellcode โอเพนซอร์สชื่อ DonutLoader ทำให้แทบไม่ทิ้งร่องรอยบนดิสก์
ผลกระทบต่อไทย
แม้แคมเปญนี้เล็งผู้ใช้ Windows ในสหรัฐเป็นหลัก แต่เทคนิค malvertising ผ่าน Google Ads ไม่มีพรมแดน และนักพัฒนาไทยที่ค้นหาเครื่องมืออย่าง Node.js ก็มีความเสี่ยงเช่นเดียวกัน เพราะ Node.js เป็นเครื่องมือพื้นฐานที่นักพัฒนาเว็บและทีมงานไอทีในไทยใช้กันอย่างแพร่หลาย กลโกงที่ใช้ผลค้นหาสปอนเซอร์ปลอมและโฮสต์ payload บนบริการคลาวด์ถูกกฎหมายอย่าง Storj ทำให้แยกแยะของจริงกับของปลอมยากมาก หาก CASTLESTEALER ทำงาน อาจขโมย credential, cookie, ข้อมูลเบราว์เซอร์ และ token ของนักพัฒนา ซึ่งอาจลุกลามไปสู่การเข้าถึงระบบขององค์กรและการโจมตี supply chain ได้
คำแนะนำ
ทีมความปลอดภัยควรพิจารณาผลการค้นหาแบบสปอนเซอร์สำหรับเครื่องมือนักพัฒนาด้วยความระมัดระวังเป็นพิเศษ ตรวจสอบให้แน่ใจว่าระบบตรวจจับพฤติกรรมที่ปลายทาง (endpoint behavioral detection) เปิดใช้งานจริงไม่ใช่แค่โหมดเฝ้าดู และยืนยันการดาวน์โหลดซอฟต์แวร์โดยตรงกับเว็บไซต์ทางการของผู้ผลิตเสมอ ผู้ใช้ทั่วไปควรหลีกเลี่ยงการคลิกโฆษณาสปอนเซอร์เมื่อค้นหาซอฟต์แวร์ และพิมพ์ URL ทางการเอง (เช่น nodejs.org) แทนการคลิกผลค้นหา องค์กรควรเฝ้าระวังการเชื่อมต่อไปยัง C2 ของ CASTLESTEALER และตรวจสอบกิจกรรม PowerShell และ UAC prompt ที่น่าสงสัย รวมถึงพิจารณาบล็อกการดาวน์โหลด executable จากบริการแชร์ไฟล์คลาวด์ที่ไม่ได้รับอนุญาต
Indicators of Compromise (IoCs)
| ประเภท | Indicator | คำอธิบาย |
|---|---|---|
| Domain | nodejs-preventive[.]info | หน้า landing page malvertising |
| Domain | app.miloyannopoulos[.]com | ตัวเปลี่ยนทาง malvertising |
| SHA-256 | fdfc9780b3c67acac3ca1acfdc9a890dcfee2d5d58fbcef8eac3fc80aa1cf2b3 | OXLOADER downloader/launcher (Bild0erSetup.bat) |
| SHA-256 | de2b7c7a9e7c006e7ca990e77e7dff9b8b73aa9e9e24b98a7f88d3b3fff7c2b3 | OXLOADER downloader/launcher (สายพันธุ์) |
| SHA-256 | ca99a9fd118f8a99a9bc99ca9bb9cdfc7cd3b3db9fbcd3fecd3fecd7fe9f0f6f | apimonitor-x64.exe (OXLOADER) |
| SHA-256 | ce8f8dcb3ca9e9190fd7818f1e7ab87b9fc8f8e7fc88fee8fcc8f8e7fc88fee8 | node-v20.7.0-x64.exe (OXLOADER) |
| SHA-256 | 9a67a98fdc9e8e6e7886e9c0e8c668b87c0b66e8f07c8e1f7e89f7c8ca7e8cc8 | CASTLESTEALER |
| IPv4 | 52.78.2[.]74 | CASTLESTEALER C2 |
| IPv4 | 52.78.77[.]48 | CASTLESTEALER C2 |
หมายเหตุ: IP และโดเมนถูก defang แล้ว (เช่น [.]) เพื่อป้องกันการเชื่อมโยงโดยไม่ตั้งใจ ให้ re-fang เฉพาะในแพลตฟอร์มข่าวกรองที่ควบคุมได้ เช่น MISP, VirusTotal หรือ SIEM
