สรุปสั้น

อีเมลที่ดูเหมือนมีเอกสารขนส่ง คำขอชำระเงิน หรือข้อเสนอทางธุรกิจ สามารถทำให้คอมพิวเตอร์ Windows ติดมัลแวร์ได้ แม้ว่าองค์ประกอบหลักชิ้นหนึ่งจะมีนามสกุลไฟล์ฟอนต์ .ttf ก็ตาม บริษัท FortiGuard Labs ได้ตั้งชื่อปฏิบัติการนี้ว่า “TTF Trap” หลังพบกิจกรรมฟิชชิงในวงกว้างที่ใช้ไฟล์ฟอนต์อำพรางและ Lua loader ที่มีอัตราการตรวจจับต่ำ แคมเปญนี้เคลื่อนไหวมาตั้งแต่ปลายเดือนมีนาคม 2569 แม้นักวิจัยจะสืบย้อนเวอร์ชันแรกของ loader ไปได้ถึงเดือนตุลาคม 2568 โดย Fortinet ประเมินภัยคุกคามนี้ในระดับสูง (High) และระบุว่าองค์กรใดก็ตามที่ใช้ Windows อาจตกเป็นเป้าหมาย

TTF ย่อมาจาก TrueType Font ซึ่งเป็นรูปแบบไฟล์ฟอนต์ทั่วไปบน Windows แต่ในแคมเปญนี้ไฟล์ .ttf ไม่ใช่ฟอนต์จริง ผู้โจมตีใช้นามสกุลที่คุ้นเคยเพื่ออำพรางสคริปต์ Lua อันตรายที่จะติดตั้งมัลแวร์เมื่อถูกเรียกทำงานโดยโปรแกรมแยกต่างหาก มัลแวร์สุดท้ายที่ถูกปล่อยแตกต่างกันไปในแต่ละการโจมตี โดย FortiGuard Labs พบทั้ง Agent Tesla, Remcos, XWorm และ Snake Keylogger หลายสายพันธุ์ ซึ่งเครื่องมือเหล่านี้สามารถขโมยข้อมูลรับรองและข้อมูลอื่น ๆ บันทึกการกดแป้นพิมพ์ หรือมอบสิทธิ์ควบคุมเครื่องที่ติดมัลแวร์จากระยะไกลให้ผู้โจมตี

รายละเอียดข่าว

เว็บไซต์ HackRead รายงานเมื่อวันที่ 17 กรกฎาคม พ.ศ. 2569 ว่าอีเมลในแคมเปญ TTF Trap จะปลอมตัวเป็นบริษัทที่มีชื่อเสียงและติดต่อผู้รับด้วยคำขอเกี่ยวกับใบสั่งซื้อ ใบแจ้งหนี้ เอกสารขนส่ง การชำระเงิน หรือความร่วมมือทางธุรกิจ บางข้อความจะแนบไฟล์บีบอัด ZIP หรือ RAR ขณะที่บางฉบับให้ลิงก์สำหรับดาวน์โหลดไฟล์บีบอัด โดยผู้ส่งจะสร้างความรู้สึกเร่งด่วนเพื่อโน้มน้าวให้ผู้รับเปิดไฟล์ที่แนบมา เมื่อเปิดไฟล์บีบอัด จะเป็นการเรียกใช้ไฟล์ JScript ที่ถูกทำให้อ่านยากอย่างหนักและเต็มไปด้วยโค้ดขยะที่ออกแบบมาเพื่อขัดขวางการสแกนอัตโนมัติและการตรวจสอบด้วยมือ สคริปต์จะคัดลอกตัวเองไปยังโฟลเดอร์ Windows Public Libraries สร้าง scheduled task เพื่อฝังตัว และถอดรหัสไฟล์เพิ่มเติมที่ซ่อนอยู่ในโค้ด

ในบรรดาไฟล์ที่ถูกปล่อยออกมา มีตัวแปลภาษา (Interpreter) AutoIt หรือ LuaJIT ที่ถูกกฎหมายพร้อมกับสคริปต์อันตราย สคริปต์นั้นอาจใช้นามสกุล .ttf ทำให้ดูเหมือนเป็นฟอนต์ TrueType แม้เนื้อหาข้างในจะเป็นโค้ด Lua ที่สั่งทำงานได้ ตัวแปลภาษาจะอ่านไฟล์ที่อำพรางนี้ ถอดรหัสเนื้อหา และรันขั้นถัดไป เมื่อถอดรหัสแล้ว loader จะรัน Donut shellcode โดยตรงในหน่วยความจำเพื่อลดจำนวนไฟล์อันตรายที่ถูกเขียนลงดิสก์ ส่วนเวอร์ชัน AutoIt ที่เกี่ยวข้องจะเปิดกระบวนการ colorcpl.exe ที่ถูกกฎหมายของ Windows ในสถานะพัก (Suspended) ก่อนฉีดและรันเพย์โหลดข้างในกระบวนการนั้น การวิเคราะห์ของ Fortinet ยังพบว่า loader เวอร์ชันใหม่เพิ่มวิธีต่อต้านการวิเคราะห์เพื่อให้การดีบักและการตรวจจับยากขึ้น

วิธีการโจมตี

จุดเด่นของ TTF Trap คือการแยกส่วนประกอบเพื่อหลบเลี่ยงการตรวจจับ นาย Jason Soroko นักวิจัยอาวุโสจากบริษัท Sectigo กล่าวว่าแคมเปญนี้แสดงให้เห็นว่าชื่อไฟล์หรือนามสกุลไม่สามารถยืนยันได้ว่าไฟล์บรรจุอะไรไว้ ตัวแปลภาษา สคริปต์ และฟอนต์อำพรางอาจดูไม่น่าสงสัยเมื่อพิจารณาแยกกัน แต่เมื่อรวมกันทำงานกลับส่งมอบเครื่องมือเข้าถึงระยะไกลและมัลแวร์ขโมยข้อมูล เขาแนะนำให้องค์กรตรวจสอบเนื้อหาไฟล์ พฤติกรรม และบริบทการทำงาน โดย email gateway และ sandbox ควรเปิดไฟล์บีบอัดซ้อน ติดตามลิงก์ดาวน์โหลดที่ฝังไว้ และระบุสคริปต์ที่ใช้นามสกุลหลอกลวง

เนื่องจาก loader มีการเปลี่ยนแปลงซ้ำ ๆ นาย Soroko ระบุว่าการตรวจจับไม่ควรพึ่งพาเพียงค่าแฮชไฟล์หรือเซิร์ฟเวอร์ควบคุมที่ระบุใน indicator ที่เผยแพร่ แต่การเฝ้าระวังควรครอบคลุมถึงตัวแปลภาษาที่ถูกเรียกจากโปรแกรมอีเมลหรือโปรแกรมบีบอัด การใช้งาน colorcpl.exe ที่ผิดปกติ การจัดสรรหน่วยความจำจากระยะไกล การฉีดกระบวนการ (Process Injection) และการรัน shellcode ในกรณีที่ไม่จำเป็นต้องใช้ ควรจำกัด Windows Script Host, AutoIt และ LuaJIT ผ่านการควบคุมแอปพลิเคชัน โดยเฉพาะในโฟลเดอร์ที่ผู้ใช้เขียนได้ พนักงานที่ได้รับใบสั่งซื้อ ใบแจ้งหนี้ หรือไฟล์ขนส่งที่ไม่คาดคิด ควรตรวจสอบคำขอกับผู้ส่งที่อ้างผ่านช่องทางการสื่อสารอื่น และไฟล์ .ttf ในไฟล์บีบอัดทางธุรกิจไม่ควรต้องใช้ตัวแปลภาษาหรือสคริปต์ในการรันเลย

ผลกระทบต่อไทย

TTF Trap เป็นภัยที่ใกล้ตัวองค์กรไทยอย่างยิ่ง เพราะใช้อีเมลฟิชชิงธีมธุรกิจอย่างใบสั่งซื้อ ใบแจ้งหนี้ และเอกสารขนส่ง ซึ่งเป็นเอกสารที่พนักงานฝ่ายจัดซื้อ บัญชี และโลจิสติกส์ของไทยต้องเปิดอ่านเป็นประจำ ทำให้มีโอกาสสูงที่จะหลงเปิดไฟล์อันตราย เทคนิคการอำพรางสคริปต์อันตรายด้วยนามสกุล .ttf และการใช้โปรแกรมที่ถูกกฎหมายอย่าง AutoIt/LuaJIT รวมถึงการรัน shellcode ในหน่วยความจำ ทำให้ระบบป้องกันแบบดั้งเดิมที่พึ่งพาการตรวจนามสกุลหรือค่าแฮชตรวจจับได้ยาก ยิ่งไปกว่านั้นมัลแวร์ปลายทางอย่าง Agent Tesla, Remcos, XWorm และ Snake Keylogger ล้วนเป็นเครื่องมือขโมยข้อมูลรับรองและควบคุมเครื่องจากระยะไกล ที่อาจนำไปสู่การขโมยข้อมูลองค์กรและการโจมตีที่ใหญ่ขึ้น

คำแนะนำ

องค์กรควรตั้งค่า email gateway และ sandbox ให้เปิดตรวจไฟล์บีบอัดซ้อนและติดตามลิงก์ดาวน์โหลดที่ฝังไว้ พร้อมระบุสคริปต์ที่ใช้นามสกุลหลอกลวง ควรจำกัดการใช้งาน Windows Script Host, AutoIt และ LuaJIT ผ่านการควบคุมแอปพลิเคชัน โดยเฉพาะในโฟลเดอร์ที่ผู้ใช้เขียนได้ การเฝ้าระวังไม่ควรพึ่งพาเพียงค่าแฮชไฟล์หรือเซิร์ฟเวอร์ควบคุมที่เผยแพร่ แต่ควรครอบคลุมพฤติกรรมอย่างตัวแปลภาษาที่ถูกเรียกจากโปรแกรมอีเมลหรือโปรแกรมบีบอัด การใช้งาน colorcpl.exe ที่ผิดปกติ และการฉีดกระบวนการ พนักงานที่ได้รับใบสั่งซื้อ ใบแจ้งหนี้ หรือเอกสารขนส่งที่ไม่คาดคิด ควรยืนยันคำขอกับผู้ส่งผ่านช่องทางอื่นก่อนเปิดไฟล์เสมอ และควรตระหนักว่าไฟล์ .ttf ที่แท้จริงไม่จำเป็นต้องใช้สคริปต์หรือตัวแปลภาษาในการทำงาน

แหล่งอ้างอิง