สรุปสั้น
นักวิจัยจากบริษัท Palo Alto Networks ทีม Unit 42 ค้นพบแคมเปญโจมตีใหม่ที่ใช้ชุดเครื่องมือ Browser-in-the-Browser (BitB) อันซับซ้อนเพื่อหลอกผู้ใช้ให้ดาวน์โหลดมัลแวร์ที่ปลอมตัวเป็นไฟล์ติดตั้งซอฟต์แวร์ที่ถูกต้อง เทคนิคนี้ผสมผสานหน้าต่างป็อปอัปเบราว์เซอร์ปลอมที่ดูน่าเชื่อถือเข้ากับข้อความแสดงข้อผิดพลาด (error) ที่ถูกกุขึ้น เพื่อชักจูงเหยื่อให้ทำสิ่งที่พวกเขาเชื่อว่าเป็นเรื่องปกติและปลอดภัย แคมเปญนี้ถือเป็นวิวัฒนาการที่น่าจับตาในวิธีการนำชุดฟิชชิงมาใช้เป็นอาวุธ เพราะแทนที่จะขโมยข้อมูลรับรองการเข้าสู่ระบบเพียงอย่างเดียว ปฏิบัติการนี้ไปไกลกว่านั้นด้วยการผลักไฟล์ติดตั้งมุ่งร้ายลงสู่อุปกรณ์ของเหยื่อโดยตรง ผู้โจมตีสร้างห่วงโซ่วิศวกรรมสังคม (social engineering chain) ที่ให้ความรู้สึกเป็นธรรมชาติอย่างสิ้นเชิงต่อผู้ใช้ทั่วไป ทำให้ตรวจจับได้ยากก่อนที่ความเสียหายจะเกิดขึ้น ผลกระทบของแคมเปญนี้กว้างขวาง เพราะผู้ใช้คนใดก็ตามที่เข้าเว็บไซต์ที่ถูกบุกรุกหรือเป็นเว็บมุ่งร้ายอาจตกเป็นเป้าหมายได้ ไม่ว่าจะมีพื้นฐานทางเทคนิคมากเพียงใด และเนื่องจากหน้าต่างป็อปอัปปลอมดูแยกไม่ออกจากหน้าต่างเบราว์เซอร์จริง การอบรมสร้างความตระหนักแบบมาตรฐานจึงแทบช่วยป้องกันไม่ได้
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 24 มิถุนายน พ.ศ. 2569 ว่านักวิจัยจากบริษัท Palo Alto Networks ทีม Unit 42 ได้ระบุและจัดทำเอกสารกิจกรรมการโจมตีนี้ พร้อมแบ่งปันผลการค้นพบในรายงานที่ส่งให้ Cyber Security News (CSN)
ตามรายงานของ Unit 42 ชุดเครื่องมือนี้ถูกใช้งานอย่างจริงจังในการกระจายไฟล์ติดตั้งมัลแวร์ผ่านหน้าต่างเบราว์เซอร์ที่ดูสมจริงและเลียนแบบสภาพแวดล้อมซอฟต์แวร์ที่น่าเชื่อถือ จุดที่ทำให้แคมเปญนี้โดดเด่นคือวิธีที่มันนำความหงุดหงิดของผู้ใช้มาใช้เป็นอาวุธ โดยข้อความ error ซอฟต์แวร์ปลอมจะถูกสร้างขึ้นภายในหน้าต่างเบราว์เซอร์ที่ปลอมแปลง กระตุ้นให้เหยื่อดาวน์โหลดสิ่งที่ดูเหมือนเป็นตัวแก้ไขหรืออัปเดต กว่าผู้ใช้จะรู้ตัวว่ามีบางอย่างผิดปกติ ไฟล์ติดตั้งมุ่งร้ายก็ถูกรันไปแล้ว
ผลกระทบของแคมเปญนี้กว้างขวาง ผู้ใช้คนใดที่เจอเว็บไซต์ที่ถูกบุกรุกหรือเว็บมุ่งร้ายล้วนตกเป็นเป้าได้ทั้งสิ้น และเนื่องจากหน้าต่างป็อปอัปปลอมดูเหมือนหน้าต่างเบราว์เซอร์จริงทุกประการ การอบรมสร้างความตระหนักแบบมาตรฐานจึงช่วยป้องกันได้น้อยมาก
วิธีการโจมตี
เทคนิค Browser-in-the-Browser ทำงานโดยการเรนเดอร์หน้าต่างเบราว์เซอร์ปลอมขึ้นมาทั้งหมดภายในเว็บเพจด้วยโค้ด HTML และ CSS หน้าต่างที่จำลองนี้มีแถบที่อยู่ (address bar) ที่น่าเชื่อถือซึ่งแสดง URL ที่ดูปลอดภัย ทำให้เหยื่อเชื่อว่ากำลังโต้ตอบกับเว็บไซต์หรือแอปพลิเคชันที่ถูกต้อง ในแคมเปญนี้ ชุดเครื่องมือต่อยอดการหลอกลวงไปอีกขั้น เมื่อหน้าต่างปลอมโหลดเสร็จ มันจะแสดงการแจ้งเตือน error ซอฟต์แวร์ที่ถูกกุขึ้น เตือนผู้ใช้ว่ามีส่วนประกอบที่จำเป็นหายไปหรือเสียหาย จากนั้นจะกระตุ้นให้ผู้ใช้ดาวน์โหลดไฟล์ติดตั้งเพื่อแก้ปัญหา แต่ไฟล์นั้นกลับบรรจุมัลแวร์
ห่วงโซ่การติดเชื้อสะอาดและรวดเร็ว ผู้ใช้เข้าเว็บที่ถูกบุกรุก ป็อปอัปเบราว์เซอร์ปลอมปรากฏขึ้น ข้อความ error ที่น่าเชื่อถือถูกแสดง และไฟล์ติดตั้งมัลแวร์ถูกดาวน์โหลด แต่ละขั้นตอนถูกออกแบบให้รู้สึกเป็นเรื่องปกติ ไม่มีสัญญาณอันตรายที่ชัดเจนจนกว่าตัวติดตั้งจะรันและ payload ถูกส่งมอบ วิธีหนึ่งที่ผู้ใช้ทั่วไปจะจับสังเกตหน้าต่าง BitB ปลอมได้คือการลองลากป็อปอัปออกไปนอกหน้าต่างเบราว์เซอร์หลัก เพราะป็อปอัปเบราว์เซอร์จริงสามารถเคลื่อนย้ายได้อย่างอิสระทั่วหน้าจอ ขณะที่ป็อปอัปปลอมที่ฝังอยู่ในเว็บเพจจะหยุดที่ขอบเบราว์เซอร์และไม่สามารถลากออกไปได้
สิ่งที่ทำให้ภัยคุกคามนี้ควบคุมได้ยากคือเครื่องมือความปลอดภัยแบบดั้งเดิมรับมือกับการโจมตีแบบ BitB ได้ลำบาก เพราะกิจกรรมมุ่งร้ายเริ่มต้นภายในการโต้ตอบของเว็บเพจที่ดูถูกต้อง ไม่มีคำขอเครือข่ายที่ผิดปกติในตอนเริ่ม ไม่มีไฟล์ปฏิบัติการที่น่าสงสัยถูกเปิดทันที และไม่มี URL ฟิชชิงชัดเจนให้บล็อก การโจมตีนี้ใช้ประโยชน์จากพฤติกรรมของผู้ใช้มากกว่าช่องโหว่ของซอฟต์แวร์ งานวิจัยในวงกว้างของ Unit 42 แสดงให้เห็นอย่างต่อเนื่องว่าการบุกรุกผ่านเบราว์เซอร์กำลังกลายเป็นจุดเริ่มต้นหลักของผู้โจมตีในปี 2569
ผลกระทบต่อไทย
ผู้ใช้อินเทอร์เน็ตในประเทศไทยจำนวนมากคุ้นเคยกับการเห็นข้อความแจ้งเตือนให้อัปเดตหรือติดตั้งส่วนเสริมขณะเข้าเว็บไซต์ ทำให้ตกเป็นเป้าของเทคนิค BitB นี้ได้ง่าย เพราะการหลอกลวงอาศัยความเคยชินและความหงุดหงิดของผู้ใช้มากกว่าความรู้ทางเทคนิค องค์กรไทยที่พึ่งพาการอบรมสร้างความตระหนักเพียงอย่างเดียวอาจไม่เพียงพอ เนื่องจากหน้าต่างปลอมแยกไม่ออกจากของจริง พนักงานที่กำลังเร่งรีบหรือไม่ชำนาญด้านเทคนิคจึงมีความเสี่ยงสูงที่จะดาวน์โหลดและรันไฟล์ติดตั้งมุ่งร้ายโดยไม่ทันสังเกต ซึ่งอาจนำไปสู่การติดมัลแวร์และการบุกรุกเครือข่ายองค์กรในที่สุด
คำแนะนำ
องค์กรควรเสริมความแข็งแกร่งให้สภาพแวดล้อมเบราว์เซอร์และฝึกอบรมผู้ใช้ให้ตรวจสอบความถูกต้องของป็อปอัป โดยสอนเทคนิคง่าย ๆ เช่นการลองลากหน้าต่างออกนอกเบราว์เซอร์เพื่อแยกแยะของปลอม ควรติดตั้งเครื่องมือตรวจจับที่ปลายทาง (EDR) ที่สามารถตั้งค่าสถานะไฟล์ติดตั้งที่ไม่ได้ลงนาม (unsigned) หรือไม่คาดคิดก่อนจะถูกรัน ทีมความปลอดภัยควรเฝ้าระวังการดาวน์โหลดไฟล์ MSI หรือ EXE ที่ไม่คาดคิดซึ่งถูกกระตุ้นจาก session ของเบราว์เซอร์ โดยเฉพาะที่มาจากโดเมนที่ไม่คุ้นเคย รวมถึงควรอัปเดตนโยบายความปลอดภัยของเบราว์เซอร์อย่างสม่ำเสมอและจำกัดการรันไฟล์ติดตั้งสำหรับผู้ใช้ทั่วไป ซึ่งจะลดความเสี่ยงได้อย่างมีนัยสำคัญ
