ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

80 ข่าว

แฮ็กเกอร์ใช้ VLC ปลอมและ libvlc.dll อันตราย ฝัง ValleyRAT ผ่านอีเมลฟิชชิง

Fake VLC executable and malicious libvlc.dll deploy ValleyRAT
LevelBlue เปิดโปงแคมเปญที่ซ่อนมัลแวร์ ValleyRAT ไว้ในโปรแกรม VLC ที่คนไว้ใจ ผู้โจมตีส่งอีเมลฟิชชิงเรื่องโยกย้ายบุคลากรหรือปรับเงินเดือน หลอกให้โหลด ZIP ที่มี VLC.exe ของจริงคู่กับ libvlc.dll อันตราย ใช้ DLL side-loading โหลดโค้ดร้าย รันแบบ fileless ในหน่วยความจำ พุ่งเป้าผู้ใช้ที่พูดภาษาจีนและญี่ปุ่น กิจกรรมเพิ่มเกือบเท่าตัวในปี 2026

Phantom Squatting — แฮ็กเกอร์ฉวยโดเมนที่ AI มโนขึ้นมาทำฟิชชิงและแพร่มัลแวร์

palo alto networks phishing malware ai hallucinated domains malware large
นักวิจัย Unit 42 ของ Palo Alto Networks เปิดโปงเทคนิคใหม่ชื่อ phantom squatting ที่แฮ็กเกอร์ฉวยจดโดเมนซึ่งโมเดล AI มโน (hallucinate) ขึ้นมาทั้งที่ไม่มีอยู่จริง เพื่อตั้งหน้าฟิชชิงและแพร่มัลแวร์ จากการทดสอบถาม AI กว่า 685,000 คำถาม พบลิงก์ 2.1 ล้านลิงก์ โดยกว่า 250,000 โดเมนยังไม่มีเจ้าของ ช่องโหว่นี้ฝังในสถาปัตยกรรม LLM จนแทบแพตช์ไม่ได้ ผู้ใช้ควรตรวจสอบโดเมนก่อนเชื่อลิงก์ที่ AI ให้มาเสมอ

นักวิจัยผ่า 3,000 เพย์โหลด ClickFix เผยเบื้องหลังเป็นเซิร์ฟเวอร์แจกมัลแวร์ผ่าน API

clickfix malware ise office driven malware delivery clickfix exposing api
นักวิจัย Bert-Jan Pals ถอดรหัสแพลตฟอร์ม ClickFix หลายตัวและวิเคราะห์เพย์โหลดกว่า 3,000 ตัวจากแคมเปญจริง พบว่าคำสั่งอันตรายเบื้องหลังหน้า CAPTCHA ปลอมถูกจ่ายผ่านเซิร์ฟเวอร์ API ที่ส่งมัลแวร์ตัวเดียวกันในรูปพรางต่างกันทุกครั้ง พร้อมพบวิธีส่งใหม่ที่ดาวน์โหลดไฟล์ลงโฟลเดอร์ Downloads เพื่อเลี่ยง AMSI ของ Windows ClickFix เติบโตขึ้น 517% และคิดเป็น 47% ของเคส initial access ที่ Microsoft พบ ผู้ดูแลระบบควรเฝ้าระวัง process chain ไม่ใช่แค่ clipboard

อีเมลปลอมอ้าง Interpol หลอกธุรกิจขนาดเล็กทั่วโลกให้ติดแรนซัมแวร์

ransomware interpol ton war fake interpol investigation emails push ransomware proton drive
Bitdefender Antispam Lab พบแคมเปญอีเมลปลอมที่อ้างเป็นเจ้าหน้าที่ Interpol กดดันให้พนักงานธุรกิจขนาดเล็กเปิดไฟล์ที่อ้างว่าเป็นหลักฐานการสอบสวน อีเมลชี้ไปยังลิงก์ Proton Drive ที่มีไฟล์ archive.rar ล็อกรหัส เมื่อเปิดจะปล่อยแรนซัมแวร์ที่ซ่อนเป็นไฟล์วิดีโอ มัลแวร์เข้ารหัสไฟล์แล้วสั่งให้ติดต่อผ่าน Tox แคมเปญนี้โจมตีองค์กรทั่วยุโรป เอเชีย ตะวันออกกลาง และสหรัฐฯ องค์กรควรระวังอีเมลแจ้งสอบสวนที่ไม่คาดคิดและไฟล์บีบอัดล็อกรหัส

RustDuck บอตเน็ตเขียนใหม่ด้วยภาษา Rust ยึดเราเตอร์-กล้อง-เซิร์ฟเวอร์ปล่อย DDoS — พัฒนาเทคนิคหลบการวิเคราะห์ระดับสูง

RustDuck botnet rewritten in Rust hijacking routers and servers for DDoS
นักวิจัยจาก XLab ของ QiAnXin เปิดเผยบอตเน็ตใหม่ชื่อ RustDuck ที่ยึดเราเตอร์บ้าน กล้อง IP กล่อง Android และเซิร์ฟเวอร์ที่ป้องกันหละหลวม เพื่อรวมเป็นเครือข่ายโจมตี DDoS จุดเด่นคือกำลังถูกเขียนใหม่จากภาษา C เป็น Rust ซึ่งวิเคราะห์ยากขึ้น และมีกลไกหลบการวิเคราะห์ขั้นสูง เช่น ตรวจ sandbox เครื่องมือวิเคราะห์ และ VM แพร่ผ่านรหัสผ่านอ่อนและช่องโหว่เก่าหลายตัวรวมถึง CVE-2017-17215 และ CVE-2025-29635 ใช้ ChaCha20-Poly1305 และ duckdns.org เป็นช่องทางควบคุม

แพ็กเกจ PyPI อันตรายปลอมเป็น Pyrogram ฝังแบ็กดอร์ยึดเซิร์ฟเวอร์บอต Telegram — ปฏิบัติการ Navy Ghost

Malicious PyPI Pyrogram forks backdoor Telegram bot servers Operation Navy Ghost
นักวิจัยจากบริษัท Checkmarx เปิดโปงแคมเปญ Operation Navy Ghost ที่พุ่งเป้านักพัฒนา Python ซึ่งสร้างบอต Telegram โดยปล่อยแพ็กเกจ Pyrogram ปลอมอย่างน้อย 8 ตัวบน PyPI ตั้งแต่พฤศจิกายน 2025 ถึงมิถุนายน 2026 แพ็กเกจฝังไฟล์แบ็กดอร์ชื่อ secret.py ที่เปิดให้ผู้โจมตีรันโค้ด Python หรือคำสั่งเชลล์บนเซิร์ฟเวอร์เหยื่อ อ่านไฟล์ใด ๆ ดึงข้อมูลลับ ฐานข้อมูล และแชท Telegram แบ็กดอร์ทำงานเฉพาะบนบัญชีบอตที่มักรันในระบบ production นักพัฒนาที่ติดตั้งควรลบและหมุนเวียนข้อมูลรับรองทันที

มัลแวร์ Silent Swap ปลอมตัวเป็นส่วนขยาย Google Notes ขโมยคริปโตด้วยการสลับที่อยู่กระเป๋าเงิน

Silent Swap crypto clipper malware targeting Chromium browser extensions
บริษัท McAfee Labs ค้นพบแคมเปญมัลแวร์ชื่อ Silent Swap ที่ปลอมตัวเป็นส่วนขยาย Google Notes บนเบราว์เซอร์ Chromium เพื่อขโมยคริปโตเคอร์เรนซี โดยสลับที่อยู่กระเป๋าเงินขณะทำธุรกรรมแบบเงียบๆ ใช้เทคนิค EtherHiding ดึงเซิร์ฟเวอร์ C2 ผ่านบล็อกเชน และแมปที่อยู่เหยื่อแบบ 1 ต่อ 1 พบผู้ติดมัลแวร์ทั่วโลกโดยเฉพาะอินเดีย

แฮ็กเกอร์โจมตีช่องโหว่ร้ายแรงสุด SimpleHelp CVE-2026-48558 ปล่อยมัลแวร์ TaskWeaver และ Djinn Stealer ขโมยข้อมูลคลาวด์-AI

SimpleHelp CVE-2026-48558 exploited to deploy TaskWeaver and Djinn Stealer
ผู้โจมตีไม่ทราบกลุ่มกำลังใช้ช่องโหว่ร้ายแรงสุด CVE-2026-48558 (CVSS 10.0) ใน SimpleHelp ซอฟต์แวร์ RMM เพื่อปล่อยมัลแวร์ใหม่ 2 ตระกูลคือ TaskWeaver และ Djinn Stealer ช่องโหว่เป็นการบายพาสการยืนยันตัวตนใน OpenID Connect ทำให้ผู้โจมตีปลอมโทเคนเข้าเป็น Technician ได้โดยไม่ต้องล็อกอิน Djinn Stealer ขโมยข้อมูลคลาวด์ ซอร์สโค้ด เครื่องมือ AI และกระเป๋าคริปโต CISA เพิ่มช่องโหว่นี้ในบัญชี KEV สั่งหน่วยงานรัฐบาลกลางแพตช์ภายใน 2 กรกฎาคม 2026

สหรัฐยึดเกือบ 400 โดเมนสตรีมเถื่อน FIFA World Cup — ปฏิบัติการ Offsides เตือนผู้ชมเสี่ยงมัลแวร์

US DOJ seizes FIFA World Cup illegal streaming domains Operation Offsides
กระทรวงยุติธรรมสหรัฐยึดโดเมนเว็บไซต์เกือบ 400 โดเมนที่ใช้สตรีมการแข่งขัน FIFA World Cup 2026 อย่างผิดกฎหมาย ภายใต้ปฏิบัติการ Offsides ที่ประสานงานกับพันธมิตรนานาชาติ เป้าหมายคือเซิร์ฟเวอร์และโดเมนในเปรู บัลแกเรีย โครเอเชีย โรมาเนีย โปแลนด์ และโคลอมเบีย เจ้าหน้าที่เตือนว่าเว็บสตรีมเถื่อนไม่เพียงละเมิดลิขสิทธิ์ แต่ยังเปิดทางให้ผู้ชมเสี่ยงต่อมัลแวร์และการขโมยข้อมูลส่วนตัวและการเงิน

มัลแวร์ GIFTEDCROOK ใช้ WinRAR ADS และ Reflective Loading ขโมย credential จากเบราว์เซอร์

GIFTEDCROOK malware abuses WinRAR ADS and reflective loading to steal browser data
กลุ่ม UAC-0226 ใช้ไฟล์ WinRAR ที่ฝัง Alternate Data Streams (ADS) ซ่อนไฟล์อันตรายร่วมกับเอกสารล่อ ส่งมัลแวร์ขโมยข้อมูล GIFTEDCROOK ที่ดูดข้อมูลล็อกอิน คุกกี้ และเอกสารจากเบราว์เซอร์ Chrome, Edge, Opera และ Firefox แคมเปญพุ่งเป้าบุคลากรสายทหารยูเครน ใช้ obfuscated PowerShell และ reflective PE loading โหลด payload เข้าหน่วยความจำโดยไม่แตะดิสก์ ทำให้ตรวจจับยาก พร้อมตั้ง shortcut ใน Startup เพื่อคงอยู่ในระบบ