สรุปสั้น

บริษัท Kaspersky เปิดเผยแคมเปญมัลแวร์ที่แพร่กระจายผ่านแอปพลิเคชัน WhatsApp โดยผู้โจมตีใช้บัญชีที่ถูกยึดส่งไฟล์ VBScript ที่ปลอมชื่อเป็นเอกสารทางการเงินและรายงานธุรกิจไปยังรายชื่อผู้ติดต่อของเหยื่อ เมื่อผู้ใช้เปิดไฟล์บน Windows สคริปต์จะดาวน์โหลดเพย์โหลดเพิ่มเติมที่ปิด UAC ผ่านการแก้ไข Registry จากนั้นติดตั้งซอฟต์แวร์ ManageEngine Endpoint Central แบบเงียบ แล้วเชื่อมต่อกับเซิร์ฟเวอร์ควบคุมของผู้โจมตี ทำให้สามารถบริหารจัดการเครื่องเหยื่อได้จากระยะไกลอย่างเต็มรูปแบบ

แคมเปญนี้มีเป้าหมายกระจายใน 11 ประเทศ รวมถึงสิงคโปร์ มาเลเซีย อินเดีย บราซิล และสหราชอาณาจักร โดยชื่อไฟล์มีการแปลเป็นภาษาท้องถิ่นของแต่ละประเทศเป้าหมาย นักวิจัยพบร่องรอยการใช้ภาษาจีนและโครงสร้างพื้นฐานที่ทับซ้อนกับ ValleyRAT และ Gh0st RAT แต่ยังไม่สามารถระบุตัวผู้โจมตีได้อย่างชัดเจน

รายละเอียดข่าว

เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 22 มิถุนายน พ.ศ. 2569 ว่าบริษัท Kaspersky ตรวจพบแคมเปญมัลแวร์ที่ยังคงดำเนินอยู่ซึ่งใช้ WhatsApp เป็นช่องทางแพร่กระจาย โดยผู้โจมตียึดบัญชี WhatsApp ของเหยื่อรายแรกแล้วส่งไฟล์ VBScript ที่ถูก obfuscate อย่างหนักไปยังรายชื่อผู้ติดต่อทั้งหมด ไฟล์เหล่านี้ตั้งชื่อให้ดูเหมือนเอกสารทางการเงิน ใบแจ้งหนี้ หรือรายงานบัญชี เพื่อหลอกให้ผู้รับเปิดไฟล์โดยไม่ระวัง เนื่องจากข้อความมาจากคนที่รู้จัก

ข้อมูลเทเลเมทรีของ Kaspersky แสดงว่าแคมเปญกระจายตัวใน 11 ประเทศ ได้แก่ บราซิล อินเดีย เม็กซิโก สิงคโปร์ สหราชอาณาจักร สเปน ไต้หวัน ออสเตรเลีย รัสเซีย เวียดนาม และมาเลเซีย ชื่อไฟล์มีการแปลเป็นหลายภาษา ยืนยันว่าเป็นแคมเปญที่กำหนดเป้าหมายระดับโลก วิธีที่ผู้โจมตียึดบัญชี WhatsApp ในตอนแรกนั้นยังไม่ทราบแน่ชัด เมื่อเหยื่อเปิดไฟล์ VBScript บน Windows สคริปต์จะดาวน์โหลดสคริปต์เพิ่มเติมอีก 2 ตัวจากโครงสร้างพื้นฐานของผู้โจมตี ซึ่งจะปิดการป้องกัน UAC ผ่านการแก้ไข Registry จากนั้นดาวน์โหลดไฟล์ ZIP ที่บรรจุ ManageEngine Endpoint Central ซึ่งเป็นซอฟต์แวร์บริหารจัดการระบบที่ใช้กันอย่างแพร่หลายในฝ่าย IT แล้วติดตั้งแบบเงียบพร้อมตั้งค่าเชื่อมต่อกับเซิร์ฟเวอร์ management ที่ผู้โจมตีควบคุม ทำให้ได้สิทธิ์ remote administration เต็มรูปแบบ

Kaspersky ระบุว่ากรณีที่ไฟล์ VBScript ถูกส่งผ่าน WhatsApp Desktop ไฟล์สามารถถูก execute ผ่าน Windows Script Host (wscript.exe) ได้โดยตรง ซึ่งเป็นอันตรายมากกว่า WhatsApp Web ที่ต้องดาวน์โหลดก่อน นักวิจัยพบร่องรอยการใช้ภาษาจีนและโครงสร้างพื้นฐานที่ IP ทับซ้อนกับกิจกรรมของ ValleyRAT และ Gh0st RAT แต่หลักฐานยังไม่เพียงพอที่จะระบุตัวผู้โจมตีได้อย่างมั่นใจ

WhatsApp phishing campaign distributing VBScript malware

วิธีการโจมตี

ห่วงโซ่การโจมตีเริ่มจากการยึดบัญชี WhatsApp ของเหยื่อรายแรก (ยังไม่ทราบวิธี) จากนั้นใช้บัญชีดังกล่าวส่งไฟล์ VBScript ที่ถูก obfuscate อย่างหนักไปยังผู้ติดต่อทั้งหมด ไฟล์ตั้งชื่อเป็นเอกสารทางการเงินในภาษาท้องถิ่นของเป้าหมาย

เมื่อเหยื่อเปิดไฟล์ สคริปต์จะทำงานตามลำดับดังนี้ — ดาวน์โหลดสคริปต์เพิ่มเติม 2 ตัวจากเซิร์ฟเวอร์ C2 ของผู้โจมตี สคริปต์ชุดแรกแก้ไข Registry เพื่อปิดการป้องกัน UAC (User Account Control) จากนั้นดาวน์โหลดไฟล์ ZIP ที่บรรจุ ManageEngine Endpoint Central ซึ่งเป็นเครื่องมือ IT management ที่ถูกกฎหมาย แล้วติดตั้งแบบเงียบในเบื้องหลังโดยตั้งค่าเชื่อมต่อกับเซิร์ฟเวอร์ management ที่ผู้โจมตีควบคุม

การใช้ซอฟต์แวร์ที่ถูกกฎหมายอย่าง ManageEngine เป็นเทคนิค living-off-the-land ที่ช่วยหลบเลี่ยงการตรวจจับ เพราะโปรแกรมป้องกันมัลแวร์มักไม่แจ้งเตือนซอฟต์แวร์ IT management สิ่งที่น่าสังเกตคือหากเปิดไฟล์ผ่าน WhatsApp Desktop บน Windows ไฟล์ VBScript จะถูก execute ผ่าน wscript.exe ได้โดยตรงโดยไม่ต้องดาวน์โหลดก่อน ซึ่งลดขั้นตอนที่ผู้ใช้ต้องมีปฏิสัมพันธ์ลง

ผลกระทบต่อไทย

แม้ประเทศไทยไม่ได้อยู่ในรายชื่อ 11 ประเทศเป้าหมายโดยตรง แต่การที่แคมเปญโจมตีสิงคโปร์ มาเลเซีย เวียดนาม และไต้หวัน ซึ่งอยู่ในภูมิภาคเอเชียแปซิฟิกเช่นเดียวกัน ทำให้มีความเสี่ยงสูงที่แคมเปญจะขยายมาถึงไทย WhatsApp มีฐานผู้ใช้ในไทยจำนวนมาก โดยเฉพาะในภาคธุรกิจที่ใช้สื่อสารกับคู่ค้าต่างประเทศ การที่มัลแวร์แพร่กระจายผ่านบัญชีที่ถูกยึดทำให้ผู้รับมักเปิดไฟล์โดยไม่ระวังเพราะเชื่อว่ามาจากคนรู้จัก นอกจากนี้ร่องรอยที่เชื่อมโยงกับ ValleyRAT และ Gh0st RAT ซึ่งเป็นมัลแวร์ที่มักใช้โจมตีเป้าหมายในเอเชียตะวันออกเฉียงใต้ ยิ่งเพิ่มความเสี่ยงที่ไทยอาจเป็นเป้าหมายในอนาคต

คำแนะนำ

ผู้ใช้ WhatsApp ทั้ง Desktop และ Web ควรระวังไฟล์แนบที่ได้รับแม้จะมาจากผู้ติดต่อที่รู้จัก โดยเฉพาะไฟล์ที่มีนามสกุล .vbs หรือไฟล์สคริปต์อื่น ๆ ควรยืนยันกับผู้ส่งผ่านช่องทางอื่นก่อนเปิดไฟล์เสมอ ผู้ดูแลระบบควรบล็อกการ execute ไฟล์ .vbs ผ่าน Windows Script Host ด้วย Group Policy และเปิดใช้ UAC ในระดับสูงสุด ควรตรวจสอบว่ามีการติดตั้ง ManageEngine Endpoint Central โดยไม่ได้รับอนุญาตในเครือข่ายหรือไม่ และตรวจการเชื่อมต่อไปยังเซิร์ฟเวอร์ management ที่ไม่รู้จัก นอกจากนี้ควรสแกนไฟล์ที่ดาวน์โหลดทุกไฟล์ด้วยโปรแกรมป้องกันมัลแวร์ที่อัปเดตล่าสุดก่อนเปิดใช้งาน

แหล่งอ้างอิง