สรุปสั้น

บริษัท Kaspersky บริษัทความมั่นคงปลอดภัยไซเบอร์จากรัสเซีย เปิดเผยว่าพบผู้โจมตีที่ยังไม่ทราบตัวตนกำลังใช้เครื่องมือรีโมตชื่อ ScreenConnect เป็นช่องทางในการติดตั้งและรันมัลแวร์ AsyncRAT ซึ่งเป็นส่วนหนึ่งของแคมเปญขนาดใหญ่แบบ “หลายโดเมน หลายภาษา” ที่กระจายไฟล์ติดตั้ง (installer) อันตรายผ่านเว็บไซต์ปลอม โดยไฟล์ติดตั้งเหล่านี้ปลอมตัวเป็นซอฟต์แวร์ยอดนิยมอย่าง OBS Studio, DNS Jumper, DS4Windows และ Bandicam เป็นต้น Kaspersky ระบุว่าตรวจพบชื่อโดเมนมากกว่า 90 โดเมน กระจายใน 10 ภาษา ทั้งอังกฤษ รัสเซีย จีน เยอรมัน ฝรั่งเศส สเปน โปรตุเกส และอาหรับ โดยบางโดเมนถูกจดทะเบียนในช่วงระหว่างเดือนสิงหาคม 2025 ถึงมีนาคม 2026

จุดที่ทำให้แคมเปญนี้เข้าถึงเหยื่อได้กว้างคือการใช้เทคนิค SEO poisoning ดันเว็บปลอมให้ขึ้นไปอยู่อันดับต้น ๆ ของผลการค้นหาในเสิร์ชเอนจินอย่าง Google และ Bing เมื่อเหยื่อค้นหาซอฟต์แวร์เหล่านี้แล้วดาวน์โหลด ไฟล์ที่ได้จะฝังไบนารีติดตั้งของ Microsoft ที่ถูกเซ็นรับรองอย่างถูกต้องมาพร้อมกับไลบรารี DLL อันตราย ซึ่งถูกโหลดผ่านเทคนิค DLL side-loading ทำให้ผู้โจมตีสามารถควบคุมเครื่องที่ถูกบุกรุกได้อย่างต่อเนื่อง โดยเหยื่อมีตั้งแต่ผู้ใช้รายบุคคลไปจนถึงองค์กร

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 1 กรกฎาคม พ.ศ. 2569 ว่าผู้โจมตีที่ยังไม่ทราบตัวตนกำลังใช้เครื่องมือรีโมต ScreenConnect เป็นช่องทางในการติดตั้งและรัน AsyncRAT โดยบริษัท Kaspersky ระบุว่ากิจกรรมนี้เป็นส่วนหนึ่งของแคมเปญขนาดใหญ่ที่กระจายไฟล์ติดตั้งอันตรายซึ่งโฮสต์อยู่บนเว็บไซต์ปลอม

นาย Denis Kulik นักวิจัยด้านความปลอดภัยของ Kaspersky อธิบายว่า “ไฟล์บีบอัดอันตรายเหล่านี้รวมไบนารี install.exe ของ Microsoft ที่ถูกต้องและถูกเซ็นรับรองไว้ พร้อมกับไลบรารี install.res.1033.dll ปลอม” ซึ่ง DLL ปลอมนี้จะถูกโหลดเข้าสู่เครื่องผ่านเทคนิค DLL side-loading และติดตั้งบริการ ScreenConnect ที่จะรอรับคำสั่งเพิ่มเติมจากผู้โจมตี ทำให้ผู้โจมตีสามารถควบคุมเอนด์พอยต์ที่ถูกบุกรุกได้ โดยเหยื่อมีตั้งแต่ผู้ใช้รายบุคคลไปจนถึงองค์กร

Kaspersky ระบุว่าผู้โจมตีปลอม ScreenConnect ให้เป็นเครื่องมือยอดนิยมและกระจายผ่านเว็บไซต์หลอกลวงที่เลียนแบบหน้าเพจผลิตภัณฑ์อย่างเป็นทางการ โดยใช้เทคนิค search engine optimization ดันเว็บเหล่านี้ให้ขึ้นไปอยู่อันดับต้นของผลการค้นหาในเสิร์ชเอนจินอย่าง Google และ Bing ซึ่งเป็นวิธีที่ทำให้เหยื่อจำนวนมากหลงเชื่อว่ากำลังดาวน์โหลดซอฟต์แวร์จากแหล่งทางการ

SEO poisoned fake software sites deploy ScreenConnect and AsyncRAT

วิธีการโจมตี

เมื่อ ScreenConnect เริ่มทำงาน บริการจะสร้างและรันสคริปต์ PowerShell ชื่อ “Fj5NmEsp9EuKrun.ps1” ซึ่งทำหน้าที่กำหนดค่า Microsoft Defender exclusions เพื่อยกเว้นการตรวจจับ ปิดการแจ้งเตือน User Account Control (UAC) แล้วสร้างไฟล์ Visual Basic Script (VBScript) ชื่อ “installer_method3_stream.vbs”

จากนั้นสคริปต์จะสร้างไฟล์ชุดหนึ่งจำนวน 5 ไฟล์ในไดเรกทอรี “C:\Users\Public” ได้แก่ msgbox.txt, secret_bytes.txt, 1.vb, cap.ps1 และ script.vbs ในขั้นถัดไปมันจะสั่งรัน “script.vbs” ซึ่งเป็นสคริปต์ที่รับผิดชอบในการยุติกระบวนการ PowerShell ที่ทำงานอยู่ทั้งหมด แล้วรัน “cap.ps1” ในหน้าต่างที่ซ่อนอยู่ เป้าหมายหลักของสคริปต์ PowerShell นี้คือการอ่านเนื้อหาของไฟล์ “secret_bytes.txt” ดึงโมดูล AsyncRAT ออกมาจากไฟล์ดังกล่าว แล้วรันด้วยเทคนิค process hollowing

หลังจากนั้นมัลแวร์จะสร้างการเชื่อมต่อไปยังเซิร์ฟเวอร์ระยะไกล (“mora1987.work[.]gd”) เปิดทางให้ผู้โจมตีควบคุมระบบ Windows ที่ติดมัลแวร์ได้อย่างลับ ๆ ขโมยข้อมูลอ่อนไหว และเฝ้าติดตามกิจกรรมของผู้ใช้ด้วยการบันทึกภาพหน้าจอ ส่วนการฝังตัวถาวร (persistence) ทำผ่าน scheduled task ชื่อ “MasterPackager.Updater” ที่ถูกกระตุ้นทุก 2 นาทีเพื่อรัน “script.vbs” ทำให้การโจมตีทั้งหมดยังคงทำงานต่อได้หลังรีบูตเครื่อง

ผลกระทบต่อไทย

แคมเปญนี้ครอบคลุมถึง 10 ภาษาและกระจายไปทั่วโลก แม้รายงานจะไม่ได้ระบุภาษาไทยโดยตรง แต่ผู้ใช้ในไทยที่นิยมค้นหาและดาวน์โหลดซอฟต์แวร์ฟรียอดนิยมอย่าง OBS Studio, Bandicam หรือ DS4Windows ผ่าน Google และ Bing ก็มีความเสี่ยงสูงที่จะเจอเว็บปลอมที่ถูกดัน SEO ขึ้นมาเช่นกัน เพราะเทคนิค SEO poisoning ไม่จำกัดพรมแดนภาษา

องค์กรในไทยควรตระหนักว่าพนักงานที่ดาวน์โหลดซอฟต์แวร์เองจากผลการค้นหาโดยไม่ผ่านช่องทางที่ควบคุม อาจนำมัลแวร์ ScreenConnect และ AsyncRAT เข้าสู่เครือข่ายองค์กรได้ ยิ่งมัลแวร์นี้ปิด Microsoft Defender และ UAC ได้ ก็ยิ่งเพิ่มความเสี่ยงในการถูกยึดเครื่องและขโมยข้อมูลภายในองค์กร

คำแนะนำ

ผู้ดูแลระบบควรกำหนดนโยบายให้ดาวน์โหลดซอฟต์แวร์จากเว็บไซต์ทางการหรือ repository ภายในที่ตรวจสอบแล้วเท่านั้น หลีกเลี่ยงการคลิกผลการค้นหาที่เป็นโฆษณาหรือลิงก์อันดับต้นโดยไม่ตรวจสอบชื่อโดเมนให้ดี ควรเฝ้าระวังการใช้งาน ScreenConnect หรือเครื่องมือรีโมตที่ไม่ได้รับอนุญาตในเครือข่าย เพราะผู้โจมตีนิยมใช้เครื่องมือ RMM ที่ถูกกฎหมายเพื่อหลบเลี่ยงการตรวจจับ

นอกจากนี้ควรตรวจสอบพฤติกรรมผิดปกติ เช่น การเพิ่ม Defender exclusions การปิด UAC และ scheduled task ที่รันสคริปต์ VBScript หรือ PowerShell ทุกไม่กี่นาที รวมถึงบล็อกการเชื่อมต่อไปยังโดเมน C2 ที่ระบุ และใช้เครื่องมือ EDR ที่ตรวจจับพฤติกรรม DLL side-loading และ process hollowing ได้

แหล่งอ้างอิง