ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

50 ข่าว

SSU ยูเครนผนึก FBI แฉปฏิบัติการข่าวกรองรัสเซีย — ส่ง SMS ปลอมเป็นฝ่ายสนับสนุนล้วงบัญชีแอปแชต

Russian intelligence fake support texts steal messaging credentials Ukraine
หน่วยความมั่นคงยูเครน (SSU) ร่วมกับ FBI เปิดโปงปฏิบัติการระยะยาวของหน่วยข่าวกรองรัสเซียที่เจาะบัญชีแอปแชตของเจ้าหน้าที่รัฐ ทหาร นักการเมือง และนักเคลื่อนไหวในยูเครน ยุโรป และสหรัฐฯ ด้วยการส่ง SMS ปลอมเป็นบอทฝ่ายสนับสนุนของแพลตฟอร์มหลอกขอข้อมูลล็อกอิน เป้าหมายคือล้วงข้อมูลทางทหาร การเมือง และเศรษฐกิจที่อ่อนไหว คลื่นโจมตีคล้ายกันถูกเชื่อมโยงกับกลุ่ม Star Blizzard, UNC5792 และ UNC4221

เฟรมเวิร์กจีน Uni-App ถูกใช้สร้างเว็บหลอกลงทุนกว่า 200,000 แห่ง รวมแพลตฟอร์มคริปโตปลอม

Chinese Uni-App framework powers 200,000 investment scam sites
Infoblox รายงานว่าเว็บไซต์กว่า 200,000 แห่งใช้เทมเพลตหลอกลงทุนที่สร้างด้วยเฟรมเวิร์กโอเพนซอร์สจีน Uni-App ของ DCloud ครอบคลุมตั้งแต่กระดานเทรดคริปโตปลอม เว็บพนัน การปลอมแบรนด์ ฟิชชิ่ง WhatsApp ไปจนถึงเว็บ pig-butchering หลายภาษา พบโดเมนระดับสองกว่า 236,000 รายการเชื่อมโยงกับเครือข่ายเดียวกัน รวมถึงแพลตฟอร์ม RainbowEx ที่เคยหลอกชาวเมืองเล็กในอาร์เจนตินาทั้งเมือง ผู้ขายเทมเพลตหลอกลงทุนเปิดให้มิจฉาชีพนำไปใช้ต่อ

บริษัทไซเบอร์ถูกเล็งเป้า — แฮ็กเกอร์สร้างองค์กร OpenAI ปลอมหลอกเชิญพนักงานเข้าร่วม ล้วงข้อมูลลับผ่าน ChatGPT

fraudulent OpenAI organization invites phishing cybersecurity firms
บริษัท Push Security เปิดโปงแคมเปญ Poisoned Tenant ที่แฮ็กเกอร์สร้างองค์กร OpenAI ปลอมแอบอ้างชื่อบริษัทจริง แล้วส่งคำเชิญเข้าร่วม ChatGPT workspace ไปยังพนักงานที่เลือกเป้าหมายไว้ คำเชิญส่งจากอีเมลจริงของ OpenAI ผ่านการตรวจสอบ authentication ทุกขั้น เป้าหมายคือหลอกให้พนักงานใช้ workspace ปลอมเสมือนแพลตฟอร์มองค์กรจริงเพื่อดักข้อมูลอ่อนไหวที่พิมพ์ลง prompt เหยื่อที่ตกเป็นเป้าล้วนอยู่ในวงการไซเบอร์และเทคโนโลยี

EvilTokens ซ่อน flow การโจมตีไว้ในเบราว์เซอร์ — เจาะ Microsoft Device Code หลบ static analysis

EvilTokens hides its phishing attack flow inside the browser DOM
Cyber Security News รายงานชุดเครื่องมือฟิชชิง EvilTokens ที่เจาะการยืนยันตัวตนแบบ Microsoft Device Code และซ่อนหน้าฟิชชิงไว้ในเบราว์เซอร์ หน้าฟิชชิงถูกเข้ารหัส AES-GCM ในการตอบกลับ HTML ครั้งแรก แล้วถอดรหัสด้วย JavaScript ฝั่งเบราว์เซอร์ก่อนแสดงใน DOM ทำให้การวิเคราะห์ URL แบบ static มองไม่เห็นเนื้อหาจริง สร้างจุดบอดให้นักวิเคราะห์ SOC และทำให้การยืนยัน account takeover ล่าช้า

LokiBot กลับมาอีกครั้ง ใช้ไฟล์แนบ JScript, .NET injector และ process injection ขโมย credential จากกว่า 100 แอป

LokiBot campaign uses JScript attachment .NET injector and process injection to steal credentials
นักวิจัยจาก LevelBlue พบแคมเปญ LokiBot ระลอกใหม่ มัลแวร์ขโมย credential ที่เก่าแก่ที่สุดตัวหนึ่งซึ่งยังทำงานอยู่ ใช้ไฟล์แนบอีเมล JScript เป็นจุดเริ่มต้น ตามด้วย PowerShell, .NET injector และ process injection เข้าสู่ aspnet_compiler.exe เพื่อหลบการตรวจจับ LokiBot ขโมย credential จากกว่า 100 แอป ทั้งเบราว์เซอร์ กระเป๋าคริปโต อีเมลไคลเอนต์ และ FTP แล้วบีบอัดส่งไป C2 ผู้ใช้และองค์กรเสี่ยงถูกยึดบัญชีและขโมยข้อมูล

แคมเปญปลอมเป็น Microsoft Teams หลอกติดตั้ง RMM — ฝังตัวลึกขโมยรหัสผ่านระดับล็อกอิน

Microsoft Teams impersonation campaign delivering remote access tool
Cyfirma เปิดเผยแคมเปญฟิชชิงที่ปลอมเป็นการแจ้งเตือนจาก Microsoft Teams หลอกพนักงานให้ดาวน์โหลดเครื่องมือ RMM ที่ตั้งค่าให้เชื่อมต่อกลับเซิร์ฟเวอร์ของผู้โจมตี ตัวติดตั้งถูกเซ็นด้วยใบรับรองถูกต้องจึงหลบ AV ได้ และใช้เว็บไซต์ธุรกิจที่ถูกเจาะร่วมกับ Cloudflare Workers/Pages เป็นโครงสร้างพื้นฐาน เมื่อติดตั้งแล้วผู้โจมตีฝังตัวหลายชั้นและลงทะเบียน credential provider DLL เพื่อดักรหัสผ่านที่หน้าจอล็อกอิน

พบชุดฟิชชิ่ง AiTM เจาะ AWS ขโมย credential และโค้ด MFA แบบเรียลไทม์ — ทำให้ MFA แทบไร้ผล

AWS AiTM phishing kit steals console credentials and MFA codes in real time
นักวิจัยจาก Datadog Security Labs พบชุดฟิชชิ่งแบบ adversary-in-the-middle (AiTM) ที่พุ่งเป้าผู้ใช้ AWS ขโมย credential และโค้ด MFA แบบเรียลไทม์ในขณะที่เหยื่อพิมพ์ ทำให้ผู้โจมตีเข้าสู่ AWS console ได้ก่อนเหยื่อจะรู้ตัวและ MFA แทบไร้ผล แคมเปญทำงานระหว่าง 19-23 มิ.ย. 2026 ใช้สามโดเมนปลอมหน้า AWS sign-in โจมตีแบบเจาะจงวิศวกรซอฟต์แวร์ในสหรัฐฯ ไม่ถึง 50 ราย ด้วยอีเมลปลอมเป็น AWS Support

ชุดเครื่องมือโจมตี Browser-in-the-Browser ใช้ข้อความ error ปลอม หลอกเหยื่อโหลดตัวติดตั้งมัลแวร์

Browser-in-the-Browser kit fake software error delivers malware installers
นักวิจัย Unit 42 ของ Palo Alto Networks พบแคมเปญใหม่ที่ใช้ชุดโจมตี Browser-in-the-Browser (BitB) สร้างหน้าต่างเบราว์เซอร์ปลอมในเว็บเพจ พร้อมข้อความ error ซอฟต์แวร์ปลอม หลอกให้เหยื่อดาวน์โหลดไฟล์ติดตั้งที่จริงคือมัลแวร์ จุดเด่นคือไม่ขโมยรหัสผ่านแต่ผลักไฟล์ติดตั้งมุ่งร้ายลงเครื่องโดยตรง เครื่องมือความปลอดภัยเดิมตรวจจับยากเพราะเริ่มจากการโต้ตอบในเว็บเพจปกติ

ระวังเว็บหลอกขาย GTA 6 เข้าถึงก่อนใคร — ใช้ภาพ AI และปุ่มดาวน์โหลดปลอมล่อเหยื่อจ่ายคริปโต

GTA 6 scam websites using AI-generated images and fake download buttons
พบเว็บไซต์หลอกลวงระลอกใหม่ฉวยกระแสเกม GTA 6 อ้างขายสิทธิ์ VIP Early Access เข้าเล่นก่อนวางจำหน่าย ราคาสูงถึง 250 ดอลลาร์ รับเฉพาะคริปโต Bitcoin USDT Ethereum นักวิจัย Malwarebytes พบเว็บใช้ภาพ AI งานสวยเลียนแบบสื่อโปรโมตจริง บวกข้อความกดดันให้รีบตัดสินใจ แต่จ่ายแล้วไม่ได้เกมและเงินคืนไม่ได้ Rockstar ยืนยันพรีออเดอร์เริ่ม 25 มิ.ย. เท่านั้น

แคมเปญฟิชชิงผ่าน WhatsApp แพร่ VBScript ปลอมเป็นเอกสารธุรกิจ — ติดตั้ง Remote Admin เข้าควบคุมเครื่องเหยื่อ

WhatsApp phishing campaign distributing VBScript malware
แคมเปญมัลแวร์ใหม่กระจายผ่าน WhatsApp โดยส่งไฟล์ VBScript ปลอมเป็นเอกสารการเงินจากบัญชีที่ถูกยึด เมื่อเหยื่อเปิดไฟล์จะดาวน์โหลดและติดตั้ง ManageEngine Endpoint Central แบบเงียบ เชื่อมต่อกับเซิร์ฟเวอร์ของผู้โจมตีเพื่อควบคุมเครื่องจากระยะไกล พบเหยื่อกระจายใน 11 ประเทศรวมถึงสิงคโปร์และมาเลเซีย พบร่องรอยเชื่อมโยงกับโครงสร้างพื้นฐานของ ValleyRAT และ Gh0st RAT