ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

27 ข่าว

SHub Reaper — มัลแวร์ macOS สายพันธุ์ใหม่ใช้ ClickFix อัตโนมัติ เปิด Script Editor ขโมยเบราว์เซอร์และกระเป๋าคริปโต

SHub Reaper macOS stealer ClickFix Script Editor crypto wallet
บริษัท Moonlock พบ SHub Stealer สายพันธุ์ใหม่ชื่อ Reaper แพร่ผ่านเว็บปลอมที่เลียนแบบซอฟต์แวร์ยอดนิยม ใช้ ClickFix อัตโนมัติเปิด Script Editor ของ macOS โดยไม่ต้องให้ผู้ใช้วางโค้ดเอง ขโมยข้อมูลเบราว์เซอร์ 8 ยี่ห้อ กระเป๋าคริปโต 5 ตัว และฝัง backdoor ปลอมตัวเป็น Google Update ผู้ใช้ Mac ที่ดาวน์โหลดซอฟต์แวร์นอก App Store ควรระวังเป็นพิเศษ

Google Chrome เปิด Device Bound Session Credentials ให้ผู้ใช้ทุกคน — ผูก Cookie กับฮาร์ดแวร์สกัด Infostealer

Google Chrome Device Bound Session Credentials hardware-bound cookie protection
Google ปล่อยฟีเจอร์ Device Bound Session Credentials (DBSC) ให้ผู้ใช้ Chrome ทุกคนแล้ว เริ่มจาก Chrome 146 บน Windows ฟีเจอร์นี้ผูก session cookie เข้ากับชิปความปลอดภัยของเครื่อง เช่น TPM หรือ Secure Enclave ทำให้แฮ็กเกอร์ที่ขโมย cookie ไปใช้บนเครื่องอื่นไม่ได้ ช่วยสกัดมัลแวร์ infostealer ที่ใช้ session cookie ข้าม MFA ยึดบัญชี ส่วน macOS จะได้รับฟีเจอร์ในเวอร์ชันถัดไป

เว็บปลอม Anthropic แพร่ Infostealer แบบ Fileless ใส่ผู้ใช้ Claude Code — ใช้ ClickFix และ MP3/HTA Polyglot หลบ EDR

Fake Anthropic sites delivering fileless infostealer to Claude Code users via ClickFix
Cyderes เปิดโปงแคมเปญขโมย credential ที่ใช้เว็บปลอม Anthropic หลอกผู้ใช้ Claude Code มือใหม่ เริ่มจาก SEO poisoning พาเหยื่อไปหน้าปลอม แล้วใช้กลลวง ClickFix ให้รันคำสั่ง mshta.exe ดึงไฟล์ MP3/HTA polyglot ขนาด 6.7 MB การโจมตีรันในหน่วยความจำล้วน ไม่เขียนไฟล์ลงดิสก์ ใช้ PowerShell 32-bit และ AMSI bypass หลบ EDR สุดท้ายฝัง .NET infostealer ขโมย credential จากเบราว์เซอร์ส่งไปเซิร์ฟเวอร์รัสเซีย Anthropic เองไม่ได้ถูกเจาะ

CVE-2026-35616: แฮ็กเกอร์เจาะ FortiClient EMS ส่งมัลแวร์ขโมยรหัสผ่านปลอมเป็นแพตช์ Fortinet

FortiClient EMS CVE-2026-35616 exploited to deploy credential stealer disguised as Fortinet patch
Arctic Wolf พบแคมเปญโจมตีช่องโหว่ร้ายแรง CVE-2026-35616 (CVSS 9.1) ใน FortiClient EMS เพื่อส่งมัลแวร์ขโมยรหัสผ่านปลอมเป็นแพตช์ Fortinet ช่องโหว่เป็นแบบ pre-authentication API bypass นำสู่ privilege escalation แฮ็กเกอร์ใช้เส้นทางจัดการ endpoint ของ EMS เองสั่ง PowerShell รันบนทุกเครื่องที่ควบคุม มัลแวร์ FortiEndpoint_Patch.exe ขโมยรหัสผ่าน คุกกี้ และข้อมูล autofill จากเบราว์เซอร์ Fortinet แก้ไขแล้วในเวอร์ชัน 7.4.7

VIP Keylogger แพร่ผ่านอีเมลฟิชชิงปลอมเป็นเอกสารธุรกิจ — ซ่อนเพย์โหลดในรูปภาพด้วย Steganography

VIP Keylogger spread through phishing emails masquerading as business documents using steganography
Splunk Threat Research Team เปิดเผยแคมเปญ VIP Keylogger ที่แพร่ผ่านอีเมลฟิชชิงปลอมเป็นใบแจ้งชำระเงิน ใบสั่งซื้อ และข้อมูลขนส่ง มัลแวร์ใช้ script loader หลายชั้น (.vbs .js .bat) ที่ obfuscate หนัก แล้วซ่อนเพย์โหลดในไฟล์ภาพ .png ด้วย steganography ก่อนฉีดเข้าโพรเซส Windows ที่ถูกต้อง ความสามารถรวมถึงบันทึกคีย์ จับภาพหน้าจอ ขโมยรหัสผ่าน และสลับที่อยู่กระเป๋าคริปโตในคลิปบอร์ด ส่งข้อมูลออกผ่าน Telegram bot

เว็บปลอม Gemini CLI และ Claude Code แพร่ Infostealer ผ่าน SEO Poisoning — ขโมย Session ของ Slack, Teams, Zoom และอีกหลายแพลตฟอร์ม

Fake Gemini CLI and Claude Code sites spread infostealers via SEO poisoning
นักวิจัยจาก EclecticIQ เปิดเผยแคมเปญที่สร้างเว็บไซต์ปลอมของ Google Gemini CLI และ Anthropic Claude Code แล้วใช้ SEO poisoning ดันให้ขึ้นอันดับแรกในผลค้นหา เมื่อเหยื่อรัน PowerShell command ที่แสดงบนหน้าเว็บปลอม จะดาวน์โหลด infostealer ที่ทำงานในหน่วยความจำ ขโมย session cookies ของ Slack, Teams, Zoom, Discord และข้อมูลเบราว์เซอร์

มัลแวร์ Reaper ใหม่โจมตี macOS — ขโมยรหัสผ่าน คริปโต และข้อมูลเบราว์เซอร์ผ่านโดเมนปลอม Microsoft

Reaper malware targeting macOS users
SentinelLABS ค้นพบมัลแวร์ Reaper ซึ่งเป็นสายพันธุ์ใหม่ของ SHub Infostealer ที่สามารถหลบเลี่ยงการอัปเดตความปลอดภัยของ macOS Tahoe 26.4 ได้ มัลแวร์แพร่กระจายผ่านเว็บไซต์ดาวน์โหลดปลอมของ WeChat และ Miro โดยใช้โดเมน Typosquatting ของ Microsoft ขโมยรหัสผ่าน ข้อมูลเบราว์เซอร์ และคริปโตวอลเล็ต พร้อมฝัง Backdoor ถาวร