ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

9 ข่าว

ช็อตคัต Windows อันตรายใช้ PowerShell และ Node.js เปิดทางรันโค้ดระยะไกล ซ่อน C2 บนบล็อกเชน TON

malicious Windows LNK shortcut PowerShell Node.js backdoor TON blockchain C2
นักวิจัยจากบริษัท LevelBlue เปิดโปงแคมเปญที่ใช้ไฟล์ช็อตคัต (LNK) อันตรายบน Windows เปลี่ยนการดาวน์โหลดธรรมดาให้กลายเป็นช่องทางรันโค้ดระยะไกล เริ่มจากอีเมลสแปมธีมจองที่พักหลอกให้เปิด ZIP ที่ซ่อน LNK ปลอมเป็นรูปภาพ เมื่อคลิกจะรัน PowerShell ที่ติดตั้ง Node.js ของแท้มาใช้เป็นสภาพแวดล้อมรันแบ็กดอร์แบบ fileless ผู้โจมตีดึงที่อยู่เซิร์ฟเวอร์ควบคุมผ่าน smart contract บนบล็อกเชน TON ด้วยเทคนิค EtherHiding เพื่อเลี่ยงการบล็อก นักวิจัยพบตัวอย่างใหม่ทุกวันและเชื่อมโยงกว่า 400 ตัวอย่างเข้ากับเครื่องเดียวกัน

SCMBANKER มัลแวร์ธนาคารตัวใหม่ ใช้กลลวง ClickFix เจาะลูกค้าธนาคารเม็กซิโก

powershell clickfix malware apt captcha elastic security labs
มัลแวร์ธนาคารตัวใหม่ SCMBANKER พุ่งเป้าลูกค้าธนาคาร ฟินเทค และกระดานเทรดคริปโตในเม็กซิโก ใช้กลลวง ClickFix ผ่านหน้า CAPTCHA ปลอมหลอกให้เหยื่อรันคำสั่งติดตั้งเอง ทีมวิจัย Elastic Security Labs ที่ติดตามในชื่อ REF6045 พบว่าเป็นชุดเครื่องมือ PowerShell ที่ใช้ AI ช่วยเขียน เฝ้าดูเซสชันธนาคาร สลับเลขบัญชีในคลิปบอร์ด และเปิดทางรีโมตเข้าเครื่องได้เต็มรูปแบบ

นักวิจัยผ่า 3,000 เพย์โหลด ClickFix เผยเบื้องหลังเป็นเซิร์ฟเวอร์แจกมัลแวร์ผ่าน API

clickfix malware ise office driven malware delivery clickfix exposing api
นักวิจัย Bert-Jan Pals ถอดรหัสแพลตฟอร์ม ClickFix หลายตัวและวิเคราะห์เพย์โหลดกว่า 3,000 ตัวจากแคมเปญจริง พบว่าคำสั่งอันตรายเบื้องหลังหน้า CAPTCHA ปลอมถูกจ่ายผ่านเซิร์ฟเวอร์ API ที่ส่งมัลแวร์ตัวเดียวกันในรูปพรางต่างกันทุกครั้ง พร้อมพบวิธีส่งใหม่ที่ดาวน์โหลดไฟล์ลงโฟลเดอร์ Downloads เพื่อเลี่ยง AMSI ของ Windows ClickFix เติบโตขึ้น 517% และคิดเป็น 47% ของเคส initial access ที่ Microsoft พบ ผู้ดูแลระบบควรเฝ้าระวัง process chain ไม่ใช่แค่ clipboard

มัลแวร์ GIFTEDCROOK ใช้ WinRAR ADS และ Reflective Loading ขโมย credential จากเบราว์เซอร์

GIFTEDCROOK malware abuses WinRAR ADS and reflective loading to steal browser data
กลุ่ม UAC-0226 ใช้ไฟล์ WinRAR ที่ฝัง Alternate Data Streams (ADS) ซ่อนไฟล์อันตรายร่วมกับเอกสารล่อ ส่งมัลแวร์ขโมยข้อมูล GIFTEDCROOK ที่ดูดข้อมูลล็อกอิน คุกกี้ และเอกสารจากเบราว์เซอร์ Chrome, Edge, Opera และ Firefox แคมเปญพุ่งเป้าบุคลากรสายทหารยูเครน ใช้ obfuscated PowerShell และ reflective PE loading โหลด payload เข้าหน่วยความจำโดยไม่แตะดิสก์ ทำให้ตรวจจับยาก พร้อมตั้ง shortcut ใน Startup เพื่อคงอยู่ในระบบ

LokiBot กลับมาอีกครั้ง ใช้ไฟล์แนบ JScript, .NET injector และ process injection ขโมย credential จากกว่า 100 แอป

LokiBot campaign uses JScript attachment .NET injector and process injection to steal credentials
นักวิจัยจาก LevelBlue พบแคมเปญ LokiBot ระลอกใหม่ มัลแวร์ขโมย credential ที่เก่าแก่ที่สุดตัวหนึ่งซึ่งยังทำงานอยู่ ใช้ไฟล์แนบอีเมล JScript เป็นจุดเริ่มต้น ตามด้วย PowerShell, .NET injector และ process injection เข้าสู่ aspnet_compiler.exe เพื่อหลบการตรวจจับ LokiBot ขโมย credential จากกว่า 100 แอป ทั้งเบราว์เซอร์ กระเป๋าคริปโต อีเมลไคลเอนต์ และ FTP แล้วบีบอัดส่งไป C2 ผู้ใช้และองค์กรเสี่ยงถูกยึดบัญชีและขโมยข้อมูล

SmartRAT มัลแวร์ใหม่แพร่ผ่านหน้าธนาคารปลอมที่สร้างด้วย AI — ใช้ ClickFix หลอกเหยื่อรันคำสั่ง PowerShell ติดตั้ง RAT เต็มรูปแบบ

SmartRAT malware delivered through AI-built Brazilian bank phishing page
แคมเปญมัลแวร์ใหม่ใช้หน้าเว็บธนาคารบราซิลปลอมที่สร้างด้วย AI ร่วมกับเทคนิค ClickFix หลอกเหยื่อรันคำสั่ง PowerShell ติดตั้ง SmartRAT ซึ่งเป็น remote access tool เขียนด้วย PowerShell ทั้งหมด สามารถดักจับ keystrokes, แย่งชิง QR code, แสดงหน้าธนาคารปลอมเต็มจอ และเข้าควบคุมเครื่องเหยื่อด้วยสิทธิ์ SYSTEM นักวิจัย Zscaler ยังพบว่า C2 panel สร้างด้วย AI เช่นกัน มีช่องโหว่ร้ายแรงที่ใครก็ bypass login ได้

CVE-2026-35616: แฮ็กเกอร์เจาะ FortiClient EMS ส่งมัลแวร์ขโมยรหัสผ่านปลอมเป็นแพตช์ Fortinet

FortiClient EMS CVE-2026-35616 exploited to deploy credential stealer disguised as Fortinet patch
Arctic Wolf พบแคมเปญโจมตีช่องโหว่ร้ายแรง CVE-2026-35616 (CVSS 9.1) ใน FortiClient EMS เพื่อส่งมัลแวร์ขโมยรหัสผ่านปลอมเป็นแพตช์ Fortinet ช่องโหว่เป็นแบบ pre-authentication API bypass นำสู่ privilege escalation แฮ็กเกอร์ใช้เส้นทางจัดการ endpoint ของ EMS เองสั่ง PowerShell รันบนทุกเครื่องที่ควบคุม มัลแวร์ FortiEndpoint_Patch.exe ขโมยรหัสผ่าน คุกกี้ และข้อมูล autofill จากเบราว์เซอร์ Fortinet แก้ไขแล้วในเวอร์ชัน 7.4.7

VIP Keylogger แพร่ผ่านอีเมลฟิชชิงปลอมเป็นเอกสารธุรกิจ — ซ่อนเพย์โหลดในรูปภาพด้วย Steganography

VIP Keylogger spread through phishing emails masquerading as business documents using steganography
Splunk Threat Research Team เปิดเผยแคมเปญ VIP Keylogger ที่แพร่ผ่านอีเมลฟิชชิงปลอมเป็นใบแจ้งชำระเงิน ใบสั่งซื้อ และข้อมูลขนส่ง มัลแวร์ใช้ script loader หลายชั้น (.vbs .js .bat) ที่ obfuscate หนัก แล้วซ่อนเพย์โหลดในไฟล์ภาพ .png ด้วย steganography ก่อนฉีดเข้าโพรเซส Windows ที่ถูกต้อง ความสามารถรวมถึงบันทึกคีย์ จับภาพหน้าจอ ขโมยรหัสผ่าน และสลับที่อยู่กระเป๋าคริปโตในคลิปบอร์ด ส่งข้อมูลออกผ่าน Telegram bot

เว็บปลอม Gemini CLI และ Claude Code แพร่ Infostealer ผ่าน SEO Poisoning — ขโมย Session ของ Slack, Teams, Zoom และอีกหลายแพลตฟอร์ม

Fake Gemini CLI and Claude Code sites spread infostealers via SEO poisoning
นักวิจัยจาก EclecticIQ เปิดเผยแคมเปญที่สร้างเว็บไซต์ปลอมของ Google Gemini CLI และ Anthropic Claude Code แล้วใช้ SEO poisoning ดันให้ขึ้นอันดับแรกในผลค้นหา เมื่อเหยื่อรัน PowerShell command ที่แสดงบนหน้าเว็บปลอม จะดาวน์โหลด infostealer ที่ทำงานในหน่วยความจำ ขโมย session cookies ของ Slack, Teams, Zoom, Discord และข้อมูลเบราว์เซอร์