สรุปสั้น

แคมเปญมัลแวร์ใหม่กำลังใช้หนังสือแจ้งภาษีปลอมของอินเดียหลอกผู้ใช้ให้ติดตั้งโทรจันควบคุมระยะไกล (remote access trojan) ไม่ใช่แค่ตัวเดียวแต่ถึงสองตัวลงบนคอมพิวเตอร์ การโจมตีปลอมตัวเป็นการสื่อสารจากกรมสรรพากร (Income Tax Department) ของอินเดีย เล่นกับความกลัวเรื่องค่าปรับเพื่อผลักดันให้เหยื่อดาวน์โหลดไฟล์อันตราย เมื่อถูกกระตุ้น การติดมัลแวร์จะคลี่ออกเป็นหกขั้นตอนที่ออกแบบมาอย่างพิถีพิถัน จบลงด้วย RAT สองตัวที่ทำงานเงียบ ๆ อยู่ในหน่วยความจำ

จุดที่แสดงถึงการวางแผนเกินกว่าฟิชชิงทั่วไปคือ implant แต่ละตัวเชื่อมต่อไปยังเซิร์ฟเวอร์คำสั่งของตัวเอง ทำให้ผู้โจมตีมีช่องสำรองในตัวหากการเชื่อมต่อหนึ่งถูกบล็อกหรือตรวจพบ นักวิจัยจากบริษัท Cyderes ระบุในรายงานที่แบ่งปันกับ Cyber Security News ว่าได้ระบุแคมเปญนี้และติดตามห่วงโซ่ทางเทคนิคทั้งหมด ตั้งแต่หนังสือแจ้งปลอมเริ่มต้นไปจนถึง payload สุดท้ายที่รันอยู่ภายในโปรเซสระบบที่ถูกกฎหมาย โดยผู้โจมตีสร้างเหยื่อล่อด้วยการใช้ตราสัญลักษณ์ราชการที่ดูสมจริง รวมถึงการอ้างถึงกระทรวงการคลังและกองบังคับใช้กฎหมาย (Enforcement Division) เพื่อให้หนังสือปลอมดูน่าเชื่อถือ เหยื่อที่คลิกผ่านจะถูกนำไปยังหน้ายืนยันตัวตน Microsoft ปลอมก่อนที่มัลแวร์จริงจะปรากฏ ซึ่งชั้นสร้างความไว้วางใจเพิ่มเติมนี้เป็นส่วนหนึ่งที่ทำให้แคมเปญได้ผลกับผู้ใช้ทั่วไป

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 8 กรกฎาคม 2569 ว่าบริษัท Cyderes เปิดเผยแคมเปญที่ใช้หนังสือแจ้งภาษีปลอมของกรมสรรพากรอินเดียเป็นเหยื่อล่อ เพื่อส่งมัลแวร์ RAT สองตัวลงเครื่องเหยื่อ โดยนักวิจัยได้ติดตามห่วงโซ่การโจมตีทั้งหมดตั้งแต่หน้าเว็บปลอมจนถึง payload สุดท้าย

การติดมัลแวร์เริ่มบนเว็บไซต์หลอกลวงที่ลอกเลียนหน้าตาของกรมสรรพากรอินเดีย โดยแต่ละหน้าใช้เส้นทาง “/incometax” และหนังสือแจ้งการปฏิบัติตามกฎหมายที่กุขึ้น ข้อความอ้างว่าองค์กรของผู้รับละเมิดกฎหมายภาษีและต้องส่งเอกสารภายใน 72 ชั่วโมงเพื่อเลี่ยงค่าปรับ เมื่อคลิกปุ่ม “Download Documents” เหยื่อจะถูกนำไปยังหน้าที่ตีตราว่าเป็น “Microsoft Edge Secure Gateway” ซึ่งรันการตรวจสอบความปลอดภัยปลอมเป็นชุด เมื่อการตรวจทุกอย่างดูเหมือนผ่าน เบราว์เซอร์จะดาวน์โหลดไฟล์ ZIP ชื่อ Common_Offline_Utility_ITR-1_to_4_AY2026-27.zip

ภายในไฟล์ ZIP มีไฟล์รันที่เซ็นชื่ออย่างถูกต้องของแท้ กับ DLL อันตรายชื่อ nvdaHelperRemote.dll บรรจุมาด้วยกันเพื่อใช้ประโยชน์จากการจัดลำดับค้นหา DLL ของ Windows (DLL search order abuse) เมื่อไฟล์รันทำงาน มันจะโหลด DLL ของผู้โจมตีแทนที่ตัวจริงโดยไม่รู้ตัว ทำให้มัลแวร์ได้จุดเข้าที่น่าเชื่อถือบนระบบ

Fake Indian ITR notice delivers dual RAT malware through six-stage infection chain
Fake Indian ITR notice delivers dual RAT malware through six-stage infection chain

วิธีการโจมตี

จากการ sideload ครั้งแรกนั้น ห่วงโซ่จะเคลื่อนผ่านการยกระดับสิทธิ์ (privilege escalation) ด้วยหน้าต่าง UAC แล้วติดตั้งบริการ persistence ที่ปลอมตัวเป็น “Windows Mixed Reality Service” จากนั้นมัลแวร์จะดึงไฟล์จากโครงสร้างพื้นฐานของตนที่ดูเหมือนภาพ JPEG ธรรมดา แต่แท้จริงซ่อน payload ที่เข้ารหัสไว้หลายชุดต่อท้ายข้อมูลภาพ กลเม็ด polyglot นี้ทำให้ไฟล์ผ่านการตรวจแบบผิวเผินและตัวกรองเนื้อหาพื้นฐานที่ตรวจแค่ส่วนหัวไฟล์ ขั้นถัดมาจะเลิกทำกิจกรรมบนดิสก์เกือบทั้งหมด โดยใช้การโหลดแบบสะท้อน (reflective loading) เพื่อแตกโค้ดตรงในหน่วยความจำ

ห่วงโซ่จบลงด้วยการฉีด payload สองตัวเข้าไปในโปรเซส svchost.exe ในทุกเซสชันผู้ใช้ที่ทำงานอยู่ เพื่อให้มัลแวร์อยู่รอดข้ามการสลับผู้ใช้และคงจุดยึดทั้งในบริบทบริการและบริบทโต้ตอบ implant สุดท้ายสองตัวคือ Gh0st RAT รุ่นดัดแปลงที่มีความสามารถจับภาพหน้าจอและเชื่อมต่อผ่านพอร์ต 6666 และ implant ตระกูล Quasar หรือ AsyncRAT ที่เขียนด้วย .NET ซึ่งแพตช์ Antimalware Scan Interface (AMSI) ก่อนโหลดตัวเองและเชื่อมต่อผ่านพอร์ต 6351 การรัน RAT สองตัวผ่านช่องคำสั่งแยกกันหมายความว่าการบล็อกตัวหนึ่งไม่ได้ยุติการบุกรุก แนวทางตรวจจับที่แนะนำ ได้แก่ การเฝ้าดูไบนารีที่เซ็นชื่อโหลด DLL ที่ไม่ได้เซ็น การสร้างบริการที่ผิดปกติซึ่งชี้ไปยังเส้นทางที่ไม่คาดคิด การดัดแปลง AMSI ก่อนการเริ่มต้น CLR และการฉีดโปรเซสที่มุ่งเป้า svchost.exe จากต้นทางที่ไม่คาดคิด

ผลกระทบต่อไทย

แม้แคมเปญนี้จะมุ่งเป้าผู้ใช้ในอินเดียด้วยเหยื่อล่อธีมภาษีของกรมสรรพากรอินเดีย แต่รูปแบบการโจมตีถือเป็นแม่แบบที่สามารถนำมาปรับใช้กับผู้เสียภาษีในไทยได้โดยตรง โดยเปลี่ยนเป็นหนังสือแจ้งปลอมจากกรมสรรพากรไทยหรือหน่วยงานรัฐอื่น เทคนิคที่ใช้ล้วนเป็นของที่หลบเลี่ยงการตรวจจับได้ดี ทั้งการ sideload DLL ผ่านไฟล์รันที่เซ็นชื่อของแท้ การซ่อน payload ใน polyglot JPEG การรันในหน่วยความจำ และการฉีดโค้ดเข้า svchost.exe องค์กรและผู้ใช้ในไทยจึงควรระวังอีเมลหรือหน้าเว็บที่อ้างเป็นหนังสือแจ้งภาษีเร่งด่วนพร้อมกำหนดเส้นตาย และไม่ดาวน์โหลด “ยูทิลิตี้” หรือเอกสารจากลิงก์ในหนังสือแจ้งเหล่านั้น ทีมความปลอดภัยควรเน้นการตรวจจับเชิงพฤติกรรมตามที่ระบุ เพราะการพึ่งลายเซ็นไฟล์อย่างเดียวจับการโจมตีลักษณะนี้ได้ยาก

คำแนะนำ

ผู้ใช้ควรตรวจสอบหนังสือแจ้งภาษีผ่านช่องทางทางการโดยตรงเสมอ และไม่คลิกลิงก์หรือดาวน์โหลดไฟล์จากอีเมล/หน้าเว็บที่อ้างเป็นหน่วยงานภาษี โดยเฉพาะที่กดดันด้วยกำหนดเวลาอย่าง 72 ชั่วโมง สำหรับทีมความปลอดภัย แนวทางตรวจจับที่แนะนำคือเฝ้าดูไบนารีที่เซ็นชื่อซึ่งโหลด DLL ที่ไม่ได้เซ็น การสร้างบริการที่ชี้ไปเส้นทางผิดปกติ การดัดแปลง AMSI ก่อนเริ่ม CLR และการฉีดโปรเซสเข้า svchost.exe จากต้นทางที่ไม่คาดคิด นอกจากนี้ควรใช้ประโยชน์จากสิ่งบ่งชี้บนโฮสต์ เช่น บริการที่ถูกวาง ไฟล์ล็อกที่ซ่อน และ named global event เพื่อจำกัดขอบเขตและควบคุมเครื่องที่ยืนยันว่าถูกบุกรุก และควรบล็อกทราฟฟิกที่เชื่อมโยงกับ indicator ด้านล่าง

Indicators of Compromise (IoCs)

ตัวบ่งชี้ทั้งหมดถูก defang แล้ว ([.], hxxp) เพื่อความปลอดภัย ต้อง re-fang เฉพาะในแพลตฟอร์มข่าวกรองภัยคุกคามที่ควบคุมได้ เช่น MISP, VirusTotal หรือ SIEM

ชื่อไฟล์ / โฮสต์

Indicatorรายละเอียด
Common_Offline_Utility_ITR-1_to_4_AY2026-27.zipไฟล์อันตรายเริ่มต้นที่ส่งผ่านพอร์ทัลภาษีปลอม
COU_ITR-1_to_4_AY2026-27.exeไบนารีเซ็นชื่อของแท้ที่ถูกใช้เป็นตัวเรียก sideload
nvdaHelperRemote.dllDLL อันตรายที่ถูก sideload ผ่าน DLL search-order hijack
Mixed Reality.exeไบนารีที่คัดลอกมาใช้ sideload DLL ขั้นถัดไป
background.jpgไฟล์ polyglot ที่ซ่อน payload เข้ารหัสหลายชุด
c:\debug.txtล็อกดีบักที่ซ่อนไว้ เขียนโดยตัวฉีดโค้ด
c:\kkooPPPไฟล์ล็อก single-instance ของ Gh0st RAT รุ่นดัดแปลง
c:\ouewoไฟล์ล็อก single-instance ของตัวโหลด AsyncRAT
c:\kkqqexitไฟล์ kill ใช้เป็นสัญญาณสั่งปิด

โดเมน / IP / URL

Indicatorรายละเอียด
import[.]momโดเมนโฮสต์เหยื่อล่อ (path /incometax)
tqkat[.]restโดเมนโฮสต์เหยื่อล่อ (path /incometax)
generate[.]latโดเมนโฮสต์เหยื่อล่อ (path /incometax)
meoou[.]restโดเมนโฮสต์เหยื่อล่อ (path /incometax)
kattp[.]homesโดเมนโฮสต์เหยื่อล่อ (path /incometax)
118[.]107[.]0[.]197เซิร์ฟเวอร์โฮสต์ payload แบบ polyglot
hxxp://118[.]107[.]0[.]197/ouewo[.]jpgURL ดาวน์โหลด payload polyglot
kkxqbh[.]topC2 ของ Gh0st RAT รุ่นดัดแปลง (พอร์ต 6666)
ouewop[.]comC2 ของตระกูล AsyncRAT (พอร์ต 6351)

บริการ / Event / Mutex

Indicatorรายละเอียด
MixedSvc / “Windows Mixed Reality Service”บริการ persistence อันตราย
Global\kkctsbnnnamed event ตัวป้องกัน single-instance
Global\ShitSetupOn26126knamed event ช่วงติดตั้ง
5sGEm6Q4eTNvmutex ของ AsyncRAT

แหล่งอ้างอิง