สรุปสั้น

บริษัท Infoblox รายงานว่ามีเว็บไซต์มากกว่า 200,000 แห่งกำลังใช้เทมเพลตหลอกลงทุนที่สร้างขึ้นด้วยเฟรมเวิร์กโอเพนซอร์สสัญชาติจีนชื่อ Uni-App ซึ่งเป็นชุดเครื่องมือพัฒนาแบบข้ามแพลตฟอร์มที่เปิดให้นักพัฒนาสร้างโค้ดเบส Vue.js แล้วนำไปใช้งานเป็นแอปพลิเคชันบนมือถือและเดสก์ท็อป หรือเป็นเว็บไซต์ที่ปรับให้เหมาะกับมือถือได้พร้อมกัน เฟรมเวิร์กนี้ถูกใช้แพร่หลายในจีนและมีระบบนิเวศนักพัฒนาสนับสนุน ขับเคลื่อนผลิตภัณฑ์ที่ถูกต้องตามกฎหมายหลายพันรายการ โดยผู้สร้างคือ DCloud ดูเหมือนจะไม่มีส่วนเกี่ยวข้องกับการนำไปใช้ในทางทุจริต

อย่างไรก็ตาม Infoblox พบว่าผู้โจมตีกำลังขายเทมเพลตหลอกลงทุน และเว็บไซต์หลอกลวงจำนวนมากที่ใช้เทมเพลตเหล่านี้ปรากฏว่าเชื่อมโยงกับกลุ่มกิจกรรมเดียวกัน โดยบริษัทระบุว่าได้ระบุโดเมนระดับสอง (second-level domain) กว่า 236,000 รายการที่ขับเคลื่อนโครงสร้างพื้นฐานการหลอกลวงนี้ ตั้งแต่กระดานแลกเปลี่ยนคริปโตปลอม เว็บพนันปลอม การปลอมแบรนด์ ฟิชชิ่งผ่าน WhatsApp ไปจนถึงเว็บไซต์ pig-butchering หลายภาษา หนึ่งในนั้นคือแพลตฟอร์ม RainbowEx ที่ฉาวโฉ่ ซึ่งเป็นแพลตฟอร์มคริปโตปลอมที่เคยเป็นข่าวระดับนานาชาติหลังจากชาวเมืองเล็ก ๆ ในอาร์เจนตินาหลายพันคนถูกหลอกให้ทุ่มเงินลงทุน

รายละเอียดข่าว

เว็บไซต์ SecurityWeek รายงานเมื่อวันที่ 27 มิถุนายน พ.ศ. 2569 ว่า บริษัท Infoblox ได้เปิดเผยผลการวิเคราะห์ที่พบว่าเฟรมเวิร์กโอเพนซอร์สจีน Uni-App ถูกนำไปใช้สร้างเว็บไซต์หลอกลงทุนมากกว่า 200,000 แห่ง โดยตัวเฟรมเวิร์กเองและบริษัท DCloud ผู้พัฒนาไม่ได้มีส่วนเกี่ยวข้องกับการใช้ในทางทุจริต แต่ถูกมิจฉาชีพนำคุณสมบัติข้ามแพลตฟอร์มไปใช้สร้างเว็บหลอกลวงจำนวนมาก

Infoblox ระบุว่านอกเหนือจากความเชื่อมโยงทางเทคนิคแล้ว ยังพบรูปแบบการเติบโตของเว็บไซต์ลงทุนที่ใช้ DCloud พร้อมกับการลดลงของการจดทะเบียนโดเมนใหม่แบบประสานกันข้ามเว็บหลอกลวงบนโฮสต์ที่หลากหลาย ซึ่งบ่งชี้ถึงเจ้าของแบบรวมศูนย์ที่กำลังเผชิญการ disrupt หรือทำการเปลี่ยนแปลงแบบประสานกันทั่วทั้งเครือข่ายเว็บหลอกลงทุน DCloud ของตน โดเมนระดับสองสำหรับการหลอกลวงเหล่านี้เริ่มเปิดตัวมาตั้งแต่กลางปี 2022 และเพิ่มขึ้นอย่างเห็นได้ชัดตั้งแต่ปลายปี 2024 หลังเกิดเรื่องอื้อฉาว RainbowEx โดยหลังเดือนตุลาคม 2024 ตัวเลขพุ่งขึ้นถึงราว 15,000 เว็บไซต์ใหม่ต่อเดือนในช่วงสูงสุด

บริษัทระบุว่าส่วนใหญ่ของเว็บที่ตรวจพบ fingerprint ของ DCloud เป็นโดเมนหลอกลงทุน ดำเนินการโดยผู้ปฏิบัติการที่ไม่เกี่ยวข้องกันหลายราย “อาจถึงหลายสิบหรือหลายร้อยราย” นอกจากกระดานคริปโตปลอมและแพลตฟอร์ม “ฝากแล้วเทรด” แล้ว ยังมีทั้ง crypto wallet drainer เว็บปลอมตลาดทำนายผลและการพนัน ฟิชชิ่งผ่านแพลตฟอร์มแชต และเว็บเก็บเกี่ยว credential อื่น ๆ ตัวอย่างที่ชัดเจนคือ Lightning Shared Scooter Co. (LSSC) ปฏิบัติการที่น่าจะสร้างความเสียหายหลายล้านดอลลาร์ในสหรัฐฯ ซึ่งใช้ Uni-App หลอกนักลงทุนด้วยคำสัญญารายได้เพิ่มจากการลงทุนในบริษัทแชร์สกูตเตอร์ และยังมี Yuechi Sharing Technology Ltd. (YST) ที่กำลังเคลื่อนไหวในออสเตรเลีย นิวซีแลนด์ และสหรัฐฯ ด้วยรูปแบบคล้ายกัน

วิธีการโจมตี

Uni-App เป็นชุดเครื่องมือพัฒนาข้ามแพลตฟอร์มที่เปิดให้สร้างโค้ดเบส Vue.js แล้ว deploy เป็นแอปบนมือถือ เดสก์ท็อป หรือเว็บไซต์ที่ปรับให้เหมาะกับมือถือได้พร้อมกัน ผู้โจมตีอาศัยคุณสมบัตินี้สร้างเว็บหลอกลงทุนที่ดูเป็นมืออาชีพและทำงานลื่นไหลบนทุกอุปกรณ์ จากนั้นนำเทมเพลตสำเร็จรูปไปขายในระบบนิเวศของมิจฉาชีพ ทำให้ผู้ที่ไม่มีทักษะทางเทคนิคก็สามารถเปิดเว็บหลอกลวงได้อย่างรวดเร็วและจำนวนมาก

Infoblox ใช้การตรวจ fingerprint ของเว็บที่สร้างด้วย DCloud/Uni-App ในการเชื่อมโยงโดเมนกว่า 236,000 รายการเข้าด้วยกัน โดยพบว่าเว็บเหล่านี้ถูกโฮสต์กระจายอยู่บนผู้ให้บริการหลายราย เพื่อหลบเลี่ยงการถูกปิดกั้นพร้อมกัน รูปแบบการหลอกลวงมีหลากหลาย ตั้งแต่ pig-butchering ที่สร้างความสัมพันธ์กับเหยื่อก่อนชักชวนลงทุน ไปจนถึงการปลอมแบรนด์และฟิชชิ่งผ่านแอปแชตอย่าง WhatsApp ที่ YST เองนั้น Infoblox ระบุว่ามีเอกสารการจดทะเบียนที่ถูกต้องตามกฎหมาย แต่กลับเชื่อมโยงกับเครือข่ายเว็บหลอกลงทุนอื่น ๆ ซึ่งเพิ่มความน่าเชื่อถือลวงให้เหยื่อหลงเชื่อ บางรายถึงขั้นเปิดหน้าร้านจริงเพื่อสร้างภาพลักษณ์ความน่าเชื่อถือ

ผลกระทบต่อไทย

แม้รายงานจะเน้นตัวอย่างในอาร์เจนตินา สหรัฐฯ ออสเตรเลีย และนิวซีแลนด์ แต่เว็บหลอกลงทุนแบบ pig-butchering และคริปโตปลอมเป็นภัยที่ระบาดหนักในไทยอยู่แล้ว โดยมิจฉาชีพมักใช้แพลตฟอร์มหลายภาษาที่รองรับภาษาไทยเพื่อหลอกเหยื่อคนไทย การที่เทมเพลตหลอกลงทุนถูกผลิตเป็นจำนวนมากด้วย Uni-App และวางขายในตลาดมิจฉาชีพ หมายความว่ามิจฉาชีพในไทยหรือที่มุ่งเป้าคนไทยสามารถซื้อเทมเพลตสำเร็จรูปไปเปิดเว็บหลอกลงทุนได้ง่ายและรวดเร็ว เว็บเหล่านี้มักดูสมจริงและทำงานลื่นไหลบนมือถือ ทำให้เหยื่อแยกแยะได้ยาก ประชาชนและองค์กรไทยจึงควรเพิ่มความระมัดระวังต่อแพลตฟอร์มลงทุนออนไลน์ที่ให้ผลตอบแทนสูงเกินจริง

คำแนะนำ

ผู้ใช้ควรระมัดระวังแพลตฟอร์มลงทุนหรือกระดานเทรดคริปโตที่สัญญาผลตอบแทนสูงผิดปกติ ตรวจสอบใบอนุญาตและการกำกับดูแลจากหน่วยงานทางการก่อนโอนเงินทุกครั้ง และไม่หลงเชื่อบุคคลที่เข้ามาสร้างความสัมพันธ์ผ่านแอปแชตแล้วชักชวนลงทุน (รูปแบบ pig-butchering) องค์กรและทีมความปลอดภัยควรใช้บริการ DNS/threat intelligence เพื่อบล็อกโดเมนหลอกลวงที่รู้จัก เฝ้าระวังการปลอมแบรนด์ขององค์กรตนเอง และรายงานเว็บหลอกลวงไปยังผู้ให้บริการโฮสต์และหน่วยงานที่เกี่ยวข้อง การติดตามผู้โจมตีในระบบนิเวศนี้แบบองค์รวมและหาจุดร่วมที่บ่งชี้ความเป็นเจ้าของเดียวกันของเว็บ จะช่วยให้การปิดกั้นมีประสิทธิภาพมากขึ้น

แหล่งอ้างอิง