สรุปสั้น

ClickFix เทคนิคที่หลอกให้คนรันมัลแวร์ด้วยมือตัวเอง ได้เติบโตจนมี “หลังบ้าน” เป็นของตัวเองอย่างเงียบ ๆ งานวิจัยใหม่เผยว่าคำสั่งอันตรายเบื้องหลังหน้า “พิสูจน์ว่าคุณเป็นมนุษย์” ปลอม ตอนนี้ถูกจ่ายออกมาจากเซิร์ฟเวอร์ที่ขับเคลื่อนด้วย API ซึ่งส่งมัลแวร์ตัวเดียวกันให้ผู้เยี่ยมชมแต่ละคนในรูปพรางที่ต่างกันทุกครั้ง งานวิจัยเดียวกันยังพบวิธีส่งมัลแวร์แบบใหม่ที่สร้างมาเพื่อเลี่ยงการสแกนสคริปต์ของ Windows โดยเฉพาะ นาย Bert-Jan Pals นักวิจัยความปลอดภัยได้ถอดรหัสแพลตฟอร์ม ClickFix หลายตัวและวิเคราะห์เพย์โหลดราว 3,000 ตัวจากแคมเปญที่ยังทำงานอยู่ นำเสนอผลในงาน OrangeCon ต้นเดือนมิถุนายนและเผยแพร่รายละเอียดเมื่อวันที่ 30 มิถุนายน

ClickFix ออกแบบมาให้เรียบง่าย หน้าเว็บที่วางกับดักจะแสดง CAPTCHA ปลอมหรือข้อความ error จากนั้น JavaScript ที่ซ่อนอยู่จะวางคำสั่งลงในคลิปบอร์ด แล้วหน้าเว็บบอกให้ผู้ใช้กดคีย์ผสม วางคำสั่ง และกด Enter ซึ่งเท่ากับผู้ใช้รันมัลแวร์ด้วยตัวเอง โดยขั้นแรกมักไม่มีการเจาะช่องโหว่และไม่มีไฟล์ให้แอนติไวรัสจับ ทำให้มาตรการป้องกันอีเมลและ endpoint แบบเดิมมีอะไรให้ตะครุบน้อยลง เทคนิคนี้ได้ผลดีจนบริษัท ESET วัดการเติบโตได้ถึง 517% จากปลายปี 2024 ถึงครึ่งแรกของปี 2025 และรายงาน Digital Defense ของ Microsoft ปี 2025 ระบุว่ามันคิดเป็น 47% ของเคส initial access ที่ทีม Defender Experts พบ จนได้รับรหัสของตัวเองใน MITRE ATT&CK คือ T1204.004

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 1 กรกฎาคม 2569 ว่า สิ่งใหม่ในงานวิจัยนี้คือวิธีการผลิตเพย์โหลด Pals พบว่าหน้าเว็บดึงคำสั่งมาจากเซิร์ฟเวอร์เบื้องหลังที่ทำงานเหมือนบริการตามสั่ง (on-demand service) คือรับคำขอ ตรวจ access token บันทึกล็อกผู้เรียก แล้วส่งคำสั่งที่ถูกสับเปลี่ยนใหม่กลับมาทุกครั้ง เขาลองขอเพย์โหลด 100 ตัวจากเซิร์ฟเวอร์หนึ่งและได้กลับมา 100 ตัวที่ต่างกันหมด ห่อด้วยการเข้ารหัสหมุนเวียนทั้ง Base64, AES, TripleDES, Rijndael และ Deflate แต่เมื่อแกะห่อออก อย่างน้อยในตอนนี้ทั้งหมดคลายออกมาเป็นสคริปต์เดียวกันที่รันในหน่วยความจำผ่าน PowerShell runspace

รูปพรางนั้นใช้แล้วทิ้ง แต่มัลแวร์ข้างใต้ไม่ใช่ แม้ Pals เตือนว่าเพย์โหลดหลักน่าจะเริ่มเปลี่ยนไปตามเหยื่อแต่ละรายในไม่ช้า แพลตฟอร์มเดียวกันยังเสิร์ฟเหยื่อล่อได้ถึง 25 ภาษาและจับคู่คำสั่งให้ตรงกับระบบปฏิบัติการของผู้เยี่ยมชม โดยมีเวอร์ชัน macOS ทำงานควบคู่กับ Windows คำว่า “as-a-service” ไม่ใช่แค่การตลาด เพราะ ESET เคยติดตามอาชญากรที่ขายชุดสร้าง ClickFix สำเร็จรูปให้แฮ็กเกอร์รายอื่น และ Pals พบการค้าขายคู่ขนานที่ลึกลงไปอีกชั้น คือวิธีที่เพย์โหลดแต่ละตัวถูกผลิตออกมาตามคำขอ

วิธีการโจมตี

การค้นพบที่สองคือคำตอบโดยตรงต่อฝ่ายป้องกันที่คอยเฝ้าคลิปบอร์ด แทนที่จะคัดลอกคำสั่งอันตราย หน้าเว็บรุ่นใหม่กลับคัดลอกคำสั่งที่ดูไม่มีพิษภัย โดยหน้าเว็บจะแอบดาวน์โหลดไฟล์ลงในโฟลเดอร์ Downloads อย่างเงียบ ๆ ส่วนคลิปบอร์ดจะได้บรรทัด “orchestrator” สั้น ๆ ที่ทำหน้าที่ย้ายไฟล์นั้น แตกไฟล์ และรันสคริปต์ข้างใน เพราะบรรทัดที่วางเป็นเพียง orchestrator ไม่ใช่ตัวเพย์โหลด มันจึงถูกออกแบบมาให้เลี่ยง AMSI ซึ่งเป็นฟีเจอร์ของ Windows ที่ให้แอนติไวรัสสแกนสคริปต์ก่อนรัน โค้ดร้ายจะไปนั่งอยู่ในไฟล์ที่ดาวน์โหลดมาแทน

การรันมัลแวร์ยังเลื่อนไปทางลอบเร้นมากขึ้น เหยื่อล่อรุ่นแรกปี 2024 บอกให้คนกด Windows+R แล้ววางในกล่อง Run แต่รุ่นใหม่ที่พบทั่วไปตลอดปี 2025 ถึง 2026 กลับชี้ให้ใช้ Windows+X และ Windows Terminal แทน เพราะการใช้ Terminal ดูปกติกว่าและไม่ทิ้งร่องรอยใน RunMRU registry key ที่ผู้สืบสวนมักตรวจ นอกจากนี้ ClickFix เลิกเป็นเครื่องมือของอาชญากรล้วนมานานแล้ว โดย Proofpoint เชื่อมโยงกลุ่มที่รัฐหนุนหลังจากรัสเซีย อิหร่าน และเกาหลีเหนือ รวมถึง APT28, MuddyWater และ Kimsuky เข้ากับแคมเปญที่นำ ClickFix ไปเสียบในห่วงโซ่การติดเชื้อเดิม เทคนิคนี้ยังแตกลูกหลานที่มีชื่ออย่าง FileFix และ DownloadFix ที่อาศัยเครื่องมือ Windows ที่น่าเชื่อถืออื่น ๆ ส่วนขนาดก็ไม่ใช่เรื่องทฤษฎี เพราะบริษัท Expel พบคลื่น ClearFake ระลอกหนึ่งที่น่าจะติดมัลแวร์มากถึง 147,521 ระบบตั้งแต่ปลายเดือนสิงหาคม 2025

ผลกระทบต่อไทย

ClickFix เป็นภัยที่พึ่งพาการหลอกผู้ใช้เป็นหลัก จึงข้ามพรมแดนและภาษาได้ง่าย โดยเฉพาะเมื่อแพลตฟอร์มรองรับถึง 25 ภาษาและปรับคำสั่งตามระบบปฏิบัติการของเหยื่อ ผู้ใช้และองค์กรไทยที่ไม่คุ้นเคยกับกลลวงนี้มีความเสี่ยงสูง เพราะหน้า CAPTCHA ปลอมดูน่าเชื่อถือ และคนจำนวนมากคุ้นกับการทำตามขั้นตอน “ยืนยันตัวตน” โดยไม่สงสัย การที่มัลแวร์ไม่ทิ้งไฟล์และไม่เจาะช่องโหว่ในขั้นแรก ทำให้แอนติไวรัสทั่วไปในองค์กรไทยอาจตรวจไม่พบ ยิ่งเมื่อวิธีใหม่หลบ AMSI ได้ด้วย ความเสี่ยงยิ่งเพิ่ม องค์กรไทยควรตระหนักว่ากลุ่มรัฐหนุนหลังก็ใช้เทคนิคนี้ ทำให้ทั้งผู้ใช้ทั่วไปและองค์กรเป้าหมายเชิงยุทธศาสตร์ล้วนอยู่ในข่าย

คำแนะนำ

บทเรียนด้านการป้องกันไม่เปลี่ยน แต่รายละเอียดเปลี่ยน สัญญาณที่เชื่อถือได้คือ process chain ไม่ใช่ข้อความในคลิปบอร์ด ให้เฝ้าระวังกรณี explorer.exe หรือ WindowsTerminal.exe เรียก powershell.exe, cmd.exe หรือ msiexec.exe แล้วต่อออกเน็ตเวิร์กทันที ซึ่งเป็นตัวเรียกที่พบบ่อยที่สุดในข้อมูลของ Pals โดย PowerShell และ cmd เสมอกันราว 39% และ msiexec ตามมาที่ 34% ควรใช้ EDR เชิงพฤติกรรม ตั้งกฎ application control จำกัดโปรแกรมที่เรียก script interpreter ได้ และให้ความรู้ผู้ใช้ตรง ๆ ว่า “อย่าวางคำสั่งที่มีคนบอกให้รันลงในกล่อง Run หรือ terminal เด็ดขาด” สำหรับวิธีใหม่แบบ Downloads-folder ให้เพิ่มการล่าบรรทัดคำสั่งสั้น ๆ ที่ดูไม่มีพิษภัยแต่แตะโฟลเดอร์ Downloads แล้วสั่งรัน PowerShell แบบซ่อน

Indicators of Compromise (IoCs)

หมายเหตุ: อินดิเคเตอร์ถูก defang แล้ว (แทน . ด้วย [.]) — การเชื่อมต่อไปยังเซิร์ฟเวอร์เหล่านี้ไม่ได้พิสูจน์ว่าติดมัลแวร์ แต่หมายถึงมีคำสั่งถูกวางในคลิปบอร์ดของใครบางคนแล้ว

Indicatorประเภทรายละเอียด
comicstar[.]latDomainเซิร์ฟเวอร์แจกเพย์โหลด ClickFix
babybon[.]cfdDomainเซิร์ฟเวอร์แจกเพย์โหลด ClickFix
merkantalolol[.]asiaDomainเซิร์ฟเวอร์แจกเพย์โหลด ClickFix
T1204.004MITRE ATT&CKเทคนิค ClickFix (User Execution: Malicious Copy and Paste)

แหล่งอ้างอิง