ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

12 ข่าว

SCMBANKER มัลแวร์ธนาคารตัวใหม่ ใช้กลลวง ClickFix เจาะลูกค้าธนาคารเม็กซิโก

powershell clickfix malware apt captcha elastic security labs
มัลแวร์ธนาคารตัวใหม่ SCMBANKER พุ่งเป้าลูกค้าธนาคาร ฟินเทค และกระดานเทรดคริปโตในเม็กซิโก ใช้กลลวง ClickFix ผ่านหน้า CAPTCHA ปลอมหลอกให้เหยื่อรันคำสั่งติดตั้งเอง ทีมวิจัย Elastic Security Labs ที่ติดตามในชื่อ REF6045 พบว่าเป็นชุดเครื่องมือ PowerShell ที่ใช้ AI ช่วยเขียน เฝ้าดูเซสชันธนาคาร สลับเลขบัญชีในคลิปบอร์ด และเปิดทางรีโมตเข้าเครื่องได้เต็มรูปแบบ

Opera เปิดตัว Paste Protect สกัดการโจมตี ClickFix ตั้งแต่ต้นทาง

clickfix social engineering security soc paste protect
Opera เปิดตัวฟีเจอร์ความปลอดภัย Paste Protect ที่ออกแบบมาสกัดการโจมตีแบบ ClickFix ซึ่งหลอกให้ผู้ใช้คัดลอกและรันคำสั่งอันตราย ฟีเจอร์นี้บล็อกคำสั่งที่เป็นอันตรายก่อนถูกคัดลอกลงคลิปบอร์ด ใช้ทั้ง Hijack protection เดิมและ Injection protection ตัวใหม่ รองรับ Windows, macOS และ Linux เมื่อพบเนื้อหาน่าสงสัยจะบล็อกและแสดงคำเตือนพร้อมไอคอนสีแดง ผู้ใช้ตั้ง allow-list เว็บที่เชื่อถือได้ ฟีเจอร์เปิดใช้งานเป็นค่าเริ่มต้นในเวอร์ชันล่าสุด

นักวิจัยผ่า 3,000 เพย์โหลด ClickFix เผยเบื้องหลังเป็นเซิร์ฟเวอร์แจกมัลแวร์ผ่าน API

clickfix malware ise office driven malware delivery clickfix exposing api
นักวิจัย Bert-Jan Pals ถอดรหัสแพลตฟอร์ม ClickFix หลายตัวและวิเคราะห์เพย์โหลดกว่า 3,000 ตัวจากแคมเปญจริง พบว่าคำสั่งอันตรายเบื้องหลังหน้า CAPTCHA ปลอมถูกจ่ายผ่านเซิร์ฟเวอร์ API ที่ส่งมัลแวร์ตัวเดียวกันในรูปพรางต่างกันทุกครั้ง พร้อมพบวิธีส่งใหม่ที่ดาวน์โหลดไฟล์ลงโฟลเดอร์ Downloads เพื่อเลี่ยง AMSI ของ Windows ClickFix เติบโตขึ้น 517% และคิดเป็น 47% ของเคส initial access ที่ Microsoft พบ ผู้ดูแลระบบควรเฝ้าระวัง process chain ไม่ใช่แค่ clipboard

พบ RAT ตัวใหม่ 'Mistic' เปิดประตูสู่ ransomware หลายตระกูล — IAB Woodgnat เชื่อมโยง Qilin, Akira, Black Basta

New Mistic RAT opens door to several ransomware families
Symantec และ Carbon Black ของ Broadcom เปิดเผยว่า initial access broker ชื่อ Woodgnat (หรือ KongTuke) ที่เคลื่อนไหวตั้งแต่พฤษภาคม 2024 กำลังใช้ RAT ตัวใหม่ชื่อ Backdoor.Mistic โจมตีองค์กรหลายอุตสาหกรรมตั้งแต่เมษายน 2026 กลุ่มนี้เชื่อมโยงกับ ransomware อย่าง Qilin, Interlock, Rhysida, Akira, 8Base และ Black Basta ใช้เทคนิค ClickFix, FileFix และ Microsoft Teams หลอกให้เหยื่อรันคำสั่ง PowerShell

SmartRAT มัลแวร์ใหม่แพร่ผ่านหน้าธนาคารปลอมที่สร้างด้วย AI — ใช้ ClickFix หลอกเหยื่อรันคำสั่ง PowerShell ติดตั้ง RAT เต็มรูปแบบ

SmartRAT malware delivered through AI-built Brazilian bank phishing page
แคมเปญมัลแวร์ใหม่ใช้หน้าเว็บธนาคารบราซิลปลอมที่สร้างด้วย AI ร่วมกับเทคนิค ClickFix หลอกเหยื่อรันคำสั่ง PowerShell ติดตั้ง SmartRAT ซึ่งเป็น remote access tool เขียนด้วย PowerShell ทั้งหมด สามารถดักจับ keystrokes, แย่งชิง QR code, แสดงหน้าธนาคารปลอมเต็มจอ และเข้าควบคุมเครื่องเหยื่อด้วยสิทธิ์ SYSTEM นักวิจัย Zscaler ยังพบว่า C2 panel สร้างด้วย AI เช่นกัน มีช่องโหว่ร้ายแรงที่ใครก็ bypass login ได้

แฮ็กเกอร์ใช้ Claude.ai shared chat เป็นแพลตฟอร์มหลอก ClickFix — ปลอม Apple Support และเครื่องมือ AI ติดตั้ง MacSync infostealer บน macOS

Hackers abuse Claude.ai shared chat for ClickFix attacks delivering MacSync infostealer
แฮ็กเกอร์ใช้ฟีเจอร์ shared chat ของ Claude.ai เป็นแพลตฟอร์มโฮสต์คำสั่ง ClickFix อันตราย โดยสร้างหน้า chat ปลอมที่ปลอมเป็น Apple Support หรือทีมพัฒนาซอฟต์แวร์ หลอกเหยื่อรันคำสั่ง terminal ที่ดาวน์โหลด MacSync infostealer บน macOS นักวิจัยจากบริษัท TrendAI พบ hostname อันตราย 106 รายการใน 6 wave ภายใน 7 สัปดาห์ เอเชียแปซิฟิกตกเป็นเป้ากว่า 67% โดยไต้หวันเป็นอันดับ 1

แฮ็กเกอร์ใช้เทคนิค ClickFix หลอกติดตั้ง Potemkin Loader และ EtherRAT — แพร่กระจาย 11 เครื่องด้วย Hands-on-Keyboard Attack

แคมเปญ ClickFix ติดตั้ง Potemkin Loader และ EtherRAT แพร่กระจายในเครือข่ายผ่าน hands-on-keyboard attack
บริษัท Huntress พบแคมเปญโจมตีที่ใช้เทคนิค ClickFix หลอกให้ผู้ใช้รันคำสั่งผ่าน Windows Run dialog ซึ่งดาวน์โหลด MSI installer วาง Potemkin Loader ที่ใช้ DGA สร้างโดเมน 10,000 รายการเพื่อหาเซิร์ฟเวอร์ C2 แล้วโหลด RMMProject RAT เข้าหน่วยความจำ ผู้โจมตียังติดตั้ง EtherRAT ที่ดึงที่อยู่ C2 จาก Ethereum blockchain และแพร่กระจายไปกว่า 11 เครื่องในเครือข่าย

SHub Reaper — มัลแวร์ macOS สายพันธุ์ใหม่ใช้ ClickFix อัตโนมัติ เปิด Script Editor ขโมยเบราว์เซอร์และกระเป๋าคริปโต

SHub Reaper macOS stealer ClickFix Script Editor crypto wallet
บริษัท Moonlock พบ SHub Stealer สายพันธุ์ใหม่ชื่อ Reaper แพร่ผ่านเว็บปลอมที่เลียนแบบซอฟต์แวร์ยอดนิยม ใช้ ClickFix อัตโนมัติเปิด Script Editor ของ macOS โดยไม่ต้องให้ผู้ใช้วางโค้ดเอง ขโมยข้อมูลเบราว์เซอร์ 8 ยี่ห้อ กระเป๋าคริปโต 5 ตัว และฝัง backdoor ปลอมตัวเป็น Google Update ผู้ใช้ Mac ที่ดาวน์โหลดซอฟต์แวร์นอก App Store ควรระวังเป็นพิเศษ

ตัวติดตั้ง Claude Code ปลอมบน Google Sites — ใช้ ClickFix + Steganography รันมัลแวร์ในหน่วยความจำ ขโมย credential

Fake Claude Code installer via Google Sites delivers credential-stealing malware
บริษัท ANY.RUN เปิดเผยแคมเปญ ClickFix ที่ใช้หน้าปลอมเลียนแบบ Claude Code และ OpenAI Codex โฮสต์บน Google Sites ที่น่าเชื่อถือ หลอกให้ผู้ใช้รันคำสั่ง mshta เพื่อ ‘ติดตั้ง’ จากนั้น PowerShell หลายขั้นจะทำงานในหน่วยความจำ ดึง payload ที่ซ่อนในรูปด้วย steganography แล้วรัน shellcode โดยไม่แตะดิสก์ ขโมยรหัสผ่านเบราว์เซอร์ อีเมล และข้อมูล wallet คริปโต เป้าหมายหลักคือนักพัฒนาที่คุ้นเคยกับการติดตั้งผ่าน command line จึงทำตามคำสั่งโดยไม่ลังเล

SmartApeSG กลับมาอีกครั้ง — ใช้ ClickFix ล่อเหยื่อติดตั้ง RAT บน Windows

SmartApeSG ClickFix campaign delivers RAT malware on Windows
แคมเปญ SmartApeSG กลับมาพร้อมเทคนิค ClickFix ใหม่ โดยหลอกเหยื่อผ่านหน้าเว็บปลอมที่อ้างว่าให้ยืนยันตัวตน จากนั้นบังคับให้รันสคริปต์อันตรายโดยไม่รู้ตัว ผลลัพธ์คือการติดตั้ง Remote Access Trojan (RAT) บนเครื่อง Windows ที่น่าเป็นห่วงเป็นพิเศษคือการโจมตีไม่หยุดแค่มัลแวร์ตัวเดียว แต่ดาวน์โหลดเครื่องมือที่มีประสิทธิภาพสูงกว่าเพิ่มเติมหลังได้ที่มั่นในระบบ เทคนิค ClickFix ถูกใช้อย่างแพร่หลายมากขึ้นในปี 2569