สรุปสั้น

นักวิจัยจากบริษัท Elastic Security Labs เปิดโปงปฏิบัติการฉ้อโกงทางการเงินรูปแบบใหม่ที่พุ่งเป้าลูกค้าธนาคาร บริษัทฟินเทค ผู้ให้บริการชำระเงิน และกระดานเทรดสกุลเงินดิจิทัลในประเทศเม็กซิโก โดยกลุ่มผู้โจมตีที่ถูกติดตามในชื่อ REF6045 อาศัยเทคนิคหลอกลวงที่เรียกว่า ClickFix ซึ่งใช้หน้ายืนยันตัวตนแบบ CAPTCHA ปลอมหลอกให้เหยื่อคัดลอกและวางคำสั่งอันตรายลงในช่อง Run ของ Windows ด้วยตัวเอง จนนำไปสู่การติดตั้งชุดเครื่องมือ PowerShell ที่ชื่อ SCMBANKER ลงบนเครื่อง โดยส่วนประกอบบางส่วนของมัลแวร์มีอายุย้อนไปถึงเดือนตุลาคม 2568

จุดที่น่ากังวลคือ SCMBANKER ถูกออกแบบมาเจาะระบบการเงินของเม็กซิโกโดยเฉพาะ และมีหลักฐานชี้ว่าผู้พัฒนาใช้โมเดลภาษาขนาดใหญ่ (Large Language Model — LLM) ช่วยเขียนโค้ดส่วนใหญ่ ตัวมัลแวร์สามารถเฝ้าดูว่าเหยื่อเปิดหน้าธนาคารเมื่อใด ล็อกหน้าจอด้วยคำเตือนธนาคารปลอม ผลักดันให้เหยื่อโทรคุยกับ “เจ้าหน้าที่” ปลอม เปลี่ยนเส้นทางเบราว์เซอร์ และสลับเลขบัญชีที่เหยื่อคัดลอกไว้ในคลิปบอร์ด อีกทั้งยังติดตั้งเครื่องมือรีโมตเชิงพาณิชย์เพื่อเข้าควบคุมเครื่องได้เต็มรูปแบบ แม้ผู้เชี่ยวชาญจะประเมินว่าฝีมือการเขียนโค้ดค่อนข้างหยาบและมีช่องโหว่ด้านความปลอดภัยของตัวผู้โจมตีเอง แต่ก็ยืนยันว่ามีเหยื่อจริงถูกโจมตีและถูกติดป้ายกำกับอยู่บนแดชบอร์ดของผู้ควบคุมแล้ว

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 8 กรกฎาคม 2569 ว่านักวิจัยด้านความมั่นคงปลอดภัย นาย Jia Yu Chan และนาย Salim Bitam จากบริษัท Elastic Security Labs ได้เปิดเผยกลุ่มกิจกรรมผู้โจมตีที่ติดตามในชื่อรหัส REF6045 ซึ่งกำลังแพร่กระจายมัลแวร์ SCMBANKER เพื่อฉ้อโกงลูกค้าสถาบันการเงินในเม็กซิโก

การค้นพบครั้งนี้เกิดจากความผิดพลาดด้านความมั่นคงปลอดภัยในโครงสร้างพื้นฐานของ REF6045 เอง ทำให้ทีมวิจัยสามารถดึงไฟล์บีบอัด ZIP ที่บรรจุไดเรกทอรีรากของเว็บ (web root) ทั้งหมดของปฏิบัติการนี้ออกมาจากไดเรกทอรีที่เปิดโล่งอยู่ที่ไอพี 68.211.161[.]46 ได้ ทำให้เห็นภาพการทำงานทั้งหมดของชุดเครื่องมือ

จุดเริ่มต้นของการโจมตีคือหน้าตรวจสอบ CAPTCHA ปลอมที่อำพรางตัวเป็นหน้ายืนยันความปลอดภัย หลอกให้เหยื่อทำแบบทดสอบคล้าย Google reCAPTCHA ด้วยการเลือกภาพที่มีหัวจ่ายน้ำดับเพลิง เมื่อทำครบขั้นตอน เหยื่อจะได้รับคำสั่งให้คัดลอกและวางคำสั่งอันตรายลงในช่อง Run ของ Windows ซึ่งเป็นหัวใจของเทคนิค ClickFix ที่อาศัยการหลอกให้เหยื่อรันคำสั่งด้วยตัวเองแทนที่ผู้โจมตีจะต้องเจาะระบบโดยตรง

นาย Chan และนาย Bitam อธิบายว่าเมื่อติดตั้งสำเร็จ ผู้ควบคุมจะเฝ้าดูเหยื่อผ่านแดชบอร์ดสด และเลือกลงมือเฉพาะเป้าหมายที่คุ้มค่า โดยสามารถสั่งเปิดฟังก์ชันเปลี่ยนเส้นทางเบราว์เซอร์ ล็อกหน้าจอเพื่อบีบให้โทรหาคอลเซ็นเตอร์ปลอม (vishing) สลับข้อมูลคลิปบอร์ด หรือเปิดรีโมตเข้าเครื่องแบบเต็มรูปแบบตามหมายเลขไอพีของเหยื่อได้ตามต้องการ

ทีมวิจัยยังพบร่องรอยชัดเจนว่าสคริปต์เหล่านี้ถูกเขียนโดยอาศัย AI ช่วย โดยน่าจะป้อนคำสั่ง (prompt) ให้โมเดลภาษาเป็นภาษาสเปนแล้วนำมาทำให้อ่านยากด้วยมือทีหลัง สังเกตได้จากโค้ดที่มี “บุคลิกแตกแยก” คือมีชื่อฟังก์ชันที่สื่อความหมายชัดเจนและคอมเมนต์อธิบายละเอียด วางปะปนกับตัวแปรที่ถูกย่อด้วยมือและเศษข้อความที่หลงเหลือจากการสร้างของ AI ซึ่งบ่งชี้ว่าผู้เขียนใช้ผู้ช่วยเขียนโค้ดแบบ inline อย่าง Copilot หรือ Cursor

วิธีการโจมตี

เมื่อเหยื่อวางคำสั่งลงในช่อง Run แล้ว จะมีการรันสคริปต์แบตช์ (batch script) ที่ทำหน้าที่ติดตั้งมัลแวร์ผ่านกระบวนการหลายขั้นตอน โดยเริ่มจากการเปิดหน้าจอ Windows Update ปลอมเพื่อเบี่ยงเบนความสนใจ สคริปต์จะสั่งเปิด Microsoft Edge ในโหมด kiosk ชี้ไปยังเว็บ fakeupdate[.]net ซึ่งเป็นเว็บสำหรับทีมทดสอบเจาะระบบที่แสดงหน้าจออัปเดตปลอม เพื่อซื้อเวลาให้สคริปต์ทำงานเบื้องหลังจนครบ

ในขั้นถัดมา สคริปต์จะตรวจสอบว่ากำลังทำงานด้วยสิทธิ์ผู้ดูแลระบบหรือไม่ หากยังไม่ใช่ ก็จะเด้งหน้าต่างขอสิทธิ์ User Account Control (UAC) ขึ้นมาทุก ๆ 20 วินาที เพื่อกดดันให้เหยื่อคลิก “Yes” ทันทีที่ได้สิทธิ์ระดับสูง มัลแวร์จะล็อกการเคลื่อนไหวของเมาส์ ประกอบกับหน้าจออัปเดตปลอม ทำให้เหยื่อติดอยู่กับที่และเปิดโอกาสให้มัลแวร์ดาวน์โหลดชุดเครื่องมือทั้งหมดในเบื้องหลังผ่านเครื่องมือ bitsadmin

หลังจากดาวน์โหลดส่วนประกอบของ SCMBANKER ครบ มัลแวร์จะฝังตัวถาวรผ่านโฟลเดอร์ Startup และคีย์ Registry Run แล้วสั่งรีบูตเครื่องด้วยคำสั่ง shutdown /r /t 02 เมื่อเปิดเครื่องใหม่ กลไกฝังตัวจะกระตุ้นให้รันไฟล์ VBScript ชื่อ run.vbs ซึ่งทำหน้าที่เป็นตัวเรียกหลัก (master launcher) สั่งรันโมดูลหลายตัวพร้อมกัน ได้แก่ cliente.ps1 สำหรับเชื่อมต่อเซิร์ฟเวอร์สั่งการ (C2), avs.ps1 สำหรับดาวน์โหลดตัวติดตั้ง Remote Utilities RAT, clip.ps1 และ clip2.ps1 สำหรับสลับเลขบัญชี CLABE และเลขบัตรในคลิปบอร์ดเพื่อเปลี่ยนเส้นทางการโอนเงิน, jujuzkt.ps1 ที่คอยตรวจชื่อหน้าต่างทุกวินาทีเทียบกับรายชื่อสถาบันการเงินเม็กซิโกเพื่อถ่ายภาพหน้าจอและบันทึกการกดแป้นพิมพ์ ตลอดจนโมดูล vishing ที่แสดงคำเตือนความปลอดภัยปลอมสั่งให้เหยื่อโทรหาหมายเลขที่กำหนด และโมดูลเปลี่ยนเส้นทางเบราว์เซอร์ที่วาง URL ฟิชชิงลงคลิปบอร์ดแล้วส่งชุดคำสั่งกดแป้นพิมพ์ (Ctrl+L, Ctrl+V และ Enter) เพื่อพาเหยื่อไปยังหน้าฟิชชิงอัตโนมัติ หนึ่งในปลายทางเปลี่ยนเส้นทางคือ bancaporinternetbbmx[.]online ที่ฝังสคริปต์แจ้งเตือนผ่าน Telegram คอยเก็บข้อมูลเบราว์เซอร์ อุปกรณ์ และไอพีของเหยื่อส่งให้ผู้โจมตี

ผลกระทบต่อไทย

แม้แคมเปญ SCMBANKER จะพุ่งเป้าไปที่ระบบการเงินของเม็กซิโกโดยเฉพาะ และยังไม่มีรายงานการโจมตีในไทย แต่เทคนิค ClickFix ที่ใช้หน้า CAPTCHA ปลอมหลอกให้เหยื่อรันคำสั่งด้วยตัวเองนั้นเป็นรูปแบบที่กำลังแพร่หลายทั่วโลกและปรับใช้กับเป้าหมายภาษาใดก็ได้อย่างง่ายดาย ธนาคารและบริการทางการเงินในไทยจึงมีความเสี่ยงที่จะถูกลอกเลียนแบบวิธีการ โดยเปลี่ยนเพียงรายชื่อสถาบันการเงินเป้าหมายและหน้าฟิชชิงให้เป็นภาษาไทย นอกจากนี้ การที่ผู้โจมตีใช้ AI ช่วยสร้างเครื่องมือได้เร็วขึ้น ยังทำให้จำนวนแคมเปญลักษณะนี้เพิ่มขึ้นและปรับแต่งให้เข้ากับท้องถิ่นได้ในเวลาอันสั้น ผู้ใช้ทั่วไปที่คุ้นเคยกับการทำ CAPTCHA เป็นประจำจึงเป็นกลุ่มที่ตกเป็นเหยื่อได้ง่าย

คำแนะนำ

ผู้ดูแลระบบและผู้ใช้งานทั่วไปควรตระหนักว่าเว็บไซต์ที่ถูกต้องตามกฎหมายจะ ไม่มีวัน ขอให้คัดลอกคำสั่งไปวางในช่อง Run, PowerShell หรือ Terminal เพื่อ “ยืนยันตัวตน” หากพบหน้าลักษณะนี้ให้ปิดทันทีและถือว่าเป็นการหลอกลวง องค์กรควรพิจารณาปิดหรือจำกัดการเข้าถึงช่อง Run (Win+R) ผ่านนโยบายกลุ่ม (Group Policy) สำหรับผู้ใช้ที่ไม่จำเป็น พร้อมทั้งเฝ้าระวังการทำงานผิดปกติของ bitsadmin, การสร้างคีย์ Registry Run และไฟล์ VBScript ที่รันจากโฟลเดอร์ผู้ใช้ นอกจากนี้ควรบล็อกโดเมนและไอพีที่เป็นตัวบ่งชี้การบุกรุก ตรวจสอบการติดตั้งเครื่องมือรีโมตเชิงพาณิชย์อย่าง Remote Utilities ที่ไม่ได้รับอนุญาต และให้ความรู้พนักงานเรื่องกลลวง ClickFix อย่างสม่ำเสมอ

แหล่งอ้างอิง