สรุปสั้น
บริษัท Kaspersky บริษัทความมั่นคงปลอดภัยไซเบอร์จากรัสเซีย เปิดเผยว่าพบผู้โจมตีที่ยังไม่ทราบตัวตนกำลังใช้เครื่องมือรีโมตชื่อ ScreenConnect เป็นช่องทางในการติดตั้งและรันมัลแวร์ AsyncRAT ซึ่งเป็นส่วนหนึ่งของแคมเปญขนาดใหญ่แบบ “หลายโดเมน หลายภาษา” ที่กระจายไฟล์ติดตั้ง (installer) อันตรายผ่านเว็บไซต์ปลอม โดยไฟล์ติดตั้งเหล่านี้ปลอมตัวเป็นซอฟต์แวร์ยอดนิยมอย่าง OBS Studio, DNS Jumper, DS4Windows และ Bandicam เป็นต้น Kaspersky ระบุว่าตรวจพบชื่อโดเมนมากกว่า 90 โดเมน กระจายใน 10 ภาษา ทั้งอังกฤษ รัสเซีย จีน เยอรมัน ฝรั่งเศส สเปน โปรตุเกส และอาหรับ โดยบางโดเมนถูกจดทะเบียนในช่วงระหว่างเดือนสิงหาคม 2025 ถึงมีนาคม 2026
จุดที่ทำให้แคมเปญนี้เข้าถึงเหยื่อได้กว้างคือการใช้เทคนิค SEO poisoning ดันเว็บปลอมให้ขึ้นไปอยู่อันดับต้น ๆ ของผลการค้นหาในเสิร์ชเอนจินอย่าง Google และ Bing เมื่อเหยื่อค้นหาซอฟต์แวร์เหล่านี้แล้วดาวน์โหลด ไฟล์ที่ได้จะฝังไบนารีติดตั้งของ Microsoft ที่ถูกเซ็นรับรองอย่างถูกต้องมาพร้อมกับไลบรารี DLL อันตราย ซึ่งถูกโหลดผ่านเทคนิค DLL side-loading ทำให้ผู้โจมตีสามารถควบคุมเครื่องที่ถูกบุกรุกได้อย่างต่อเนื่อง โดยเหยื่อมีตั้งแต่ผู้ใช้รายบุคคลไปจนถึงองค์กร
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 1 กรกฎาคม พ.ศ. 2569 ว่าผู้โจมตีที่ยังไม่ทราบตัวตนกำลังใช้เครื่องมือรีโมต ScreenConnect เป็นช่องทางในการติดตั้งและรัน AsyncRAT โดยบริษัท Kaspersky ระบุว่ากิจกรรมนี้เป็นส่วนหนึ่งของแคมเปญขนาดใหญ่ที่กระจายไฟล์ติดตั้งอันตรายซึ่งโฮสต์อยู่บนเว็บไซต์ปลอม
นาย Denis Kulik นักวิจัยด้านความปลอดภัยของ Kaspersky อธิบายว่า “ไฟล์บีบอัดอันตรายเหล่านี้รวมไบนารี install.exe ของ Microsoft ที่ถูกต้องและถูกเซ็นรับรองไว้ พร้อมกับไลบรารี install.res.1033.dll ปลอม” ซึ่ง DLL ปลอมนี้จะถูกโหลดเข้าสู่เครื่องผ่านเทคนิค DLL side-loading และติดตั้งบริการ ScreenConnect ที่จะรอรับคำสั่งเพิ่มเติมจากผู้โจมตี ทำให้ผู้โจมตีสามารถควบคุมเอนด์พอยต์ที่ถูกบุกรุกได้ โดยเหยื่อมีตั้งแต่ผู้ใช้รายบุคคลไปจนถึงองค์กร
Kaspersky ระบุว่าผู้โจมตีปลอม ScreenConnect ให้เป็นเครื่องมือยอดนิยมและกระจายผ่านเว็บไซต์หลอกลวงที่เลียนแบบหน้าเพจผลิตภัณฑ์อย่างเป็นทางการ โดยใช้เทคนิค search engine optimization ดันเว็บเหล่านี้ให้ขึ้นไปอยู่อันดับต้นของผลการค้นหาในเสิร์ชเอนจินอย่าง Google และ Bing ซึ่งเป็นวิธีที่ทำให้เหยื่อจำนวนมากหลงเชื่อว่ากำลังดาวน์โหลดซอฟต์แวร์จากแหล่งทางการ

วิธีการโจมตี
เมื่อ ScreenConnect เริ่มทำงาน บริการจะสร้างและรันสคริปต์ PowerShell ชื่อ “Fj5NmEsp9EuKrun.ps1” ซึ่งทำหน้าที่กำหนดค่า Microsoft Defender exclusions เพื่อยกเว้นการตรวจจับ ปิดการแจ้งเตือน User Account Control (UAC) แล้วสร้างไฟล์ Visual Basic Script (VBScript) ชื่อ “installer_method3_stream.vbs”
จากนั้นสคริปต์จะสร้างไฟล์ชุดหนึ่งจำนวน 5 ไฟล์ในไดเรกทอรี “C:\Users\Public” ได้แก่ msgbox.txt, secret_bytes.txt, 1.vb, cap.ps1 และ script.vbs ในขั้นถัดไปมันจะสั่งรัน “script.vbs” ซึ่งเป็นสคริปต์ที่รับผิดชอบในการยุติกระบวนการ PowerShell ที่ทำงานอยู่ทั้งหมด แล้วรัน “cap.ps1” ในหน้าต่างที่ซ่อนอยู่ เป้าหมายหลักของสคริปต์ PowerShell นี้คือการอ่านเนื้อหาของไฟล์ “secret_bytes.txt” ดึงโมดูล AsyncRAT ออกมาจากไฟล์ดังกล่าว แล้วรันด้วยเทคนิค process hollowing
หลังจากนั้นมัลแวร์จะสร้างการเชื่อมต่อไปยังเซิร์ฟเวอร์ระยะไกล (“mora1987.work[.]gd”) เปิดทางให้ผู้โจมตีควบคุมระบบ Windows ที่ติดมัลแวร์ได้อย่างลับ ๆ ขโมยข้อมูลอ่อนไหว และเฝ้าติดตามกิจกรรมของผู้ใช้ด้วยการบันทึกภาพหน้าจอ ส่วนการฝังตัวถาวร (persistence) ทำผ่าน scheduled task ชื่อ “MasterPackager.Updater” ที่ถูกกระตุ้นทุก 2 นาทีเพื่อรัน “script.vbs” ทำให้การโจมตีทั้งหมดยังคงทำงานต่อได้หลังรีบูตเครื่อง
ผลกระทบต่อไทย
แคมเปญนี้ครอบคลุมถึง 10 ภาษาและกระจายไปทั่วโลก แม้รายงานจะไม่ได้ระบุภาษาไทยโดยตรง แต่ผู้ใช้ในไทยที่นิยมค้นหาและดาวน์โหลดซอฟต์แวร์ฟรียอดนิยมอย่าง OBS Studio, Bandicam หรือ DS4Windows ผ่าน Google และ Bing ก็มีความเสี่ยงสูงที่จะเจอเว็บปลอมที่ถูกดัน SEO ขึ้นมาเช่นกัน เพราะเทคนิค SEO poisoning ไม่จำกัดพรมแดนภาษา
องค์กรในไทยควรตระหนักว่าพนักงานที่ดาวน์โหลดซอฟต์แวร์เองจากผลการค้นหาโดยไม่ผ่านช่องทางที่ควบคุม อาจนำมัลแวร์ ScreenConnect และ AsyncRAT เข้าสู่เครือข่ายองค์กรได้ ยิ่งมัลแวร์นี้ปิด Microsoft Defender และ UAC ได้ ก็ยิ่งเพิ่มความเสี่ยงในการถูกยึดเครื่องและขโมยข้อมูลภายในองค์กร
คำแนะนำ
ผู้ดูแลระบบควรกำหนดนโยบายให้ดาวน์โหลดซอฟต์แวร์จากเว็บไซต์ทางการหรือ repository ภายในที่ตรวจสอบแล้วเท่านั้น หลีกเลี่ยงการคลิกผลการค้นหาที่เป็นโฆษณาหรือลิงก์อันดับต้นโดยไม่ตรวจสอบชื่อโดเมนให้ดี ควรเฝ้าระวังการใช้งาน ScreenConnect หรือเครื่องมือรีโมตที่ไม่ได้รับอนุญาตในเครือข่าย เพราะผู้โจมตีนิยมใช้เครื่องมือ RMM ที่ถูกกฎหมายเพื่อหลบเลี่ยงการตรวจจับ
นอกจากนี้ควรตรวจสอบพฤติกรรมผิดปกติ เช่น การเพิ่ม Defender exclusions การปิด UAC และ scheduled task ที่รันสคริปต์ VBScript หรือ PowerShell ทุกไม่กี่นาที รวมถึงบล็อกการเชื่อมต่อไปยังโดเมน C2 ที่ระบุ และใช้เครื่องมือ EDR ที่ตรวจจับพฤติกรรม DLL side-loading และ process hollowing ได้
