ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

6 ข่าว

แฮ็กเกอร์ใช้ SEO Poisoning และ HTML ซ่อนคำสั่ง หลอก AI Agent ให้ทำตามคำสั่งอันตราย — Zscaler พบสองแคมเปญหลอกจ่ายเงินคริปโต

ai bec cybersecurity security hackers abuse seo poisoning hidden html
บริษัท Zscaler ThreatLabz เปิดเผยสองแคมเปญที่ใช้ SEO poisoning ร่วมกับ HTML ซ่อนคำสั่ง เพื่อโจมตี AI agent ที่ท่องเว็บแทนผู้ใช้ ด้วยเทคนิค indirect prompt injection ฝังคำสั่งในโค้ดที่มนุษย์มองไม่เห็นแต่ AI อ่านเจอ แคมเปญหนึ่งปลอมเป็นเอกสารไลบรารี Python หลอกจ่ายค่าไลเซนส์ปลอม อีกแคมเปญปลอมโดเมน DeBank ในการทดสอบ AI บางตัวถึงขั้นจ่ายเงินจริงและรับรองเว็บปลอมว่าน่าเชื่อถือ

เว็บซอฟต์แวร์ปลอมดัน SEO หลอกโหลด — ฝัง ScreenConnect ปล่อย AsyncRAT ทั่วโลก 90+ โดเมน

SEO poisoned fake software sites deploy ScreenConnect and AsyncRAT
Kaspersky เปิดโปงแคมเปญขนาดใหญ่หลายภาษาที่ใช้เว็บปลอมเลียนแบบซอฟต์แวร์ยอดนิยมอย่าง OBS Studio, Bandicam, DS4Windows ดัน SEO ขึ้นอันดับต้นของ Google และ Bing เพื่อหลอกให้เหยื่อโหลดไฟล์ติดตั้งที่ฝังมัลแวร์ ใช้ DLL side-loading ติดตั้ง ScreenConnect แล้วปล่อย AsyncRAT พบกว่า 90 โดเมนใน 10 ภาษา เหยื่อมีทั้งบุคคลทั่วไปและองค์กร

ค้นหา 'ManageEngine OpManager' บน Bing กลายเป็นประตูสู่แรนซัมแวร์ Akira ภายใน 44 ชั่วโมง

ค้นหา ManageEngine OpManager บน Bing กลายเป็นประตูสู่แรนซัมแวร์ Akira
กลุ่มแรนซัมแวร์ใช้เทคนิค SEO poisoning ปลอมผลค้นหา Bing สำหรับ ManageEngine OpManager หลอกผู้ดูแลระบบให้ติดตั้งตัวติดตั้งปลอมที่ฝังมัลแวร์ BumbleBee ผู้โจมตีใช้เวลาเพียง 44 ชั่วโมงตั้งแต่คลิกแรกจนถึงปล่อยแรนซัมแวร์ Akira เข้ารหัสทั้งเครือข่าย พร้อมขโมยข้อมูลกว่า 75GB ออกไปยังเซิร์ฟเวอร์ในยูเครน The DFIR Report เผยแพร่รายงานเทคนิคฉบับเต็มพร้อมตาราง IoCs ครบถ้วน

เว็บปลอม Anthropic แพร่ Infostealer แบบ Fileless ใส่ผู้ใช้ Claude Code — ใช้ ClickFix และ MP3/HTA Polyglot หลบ EDR

Fake Anthropic sites delivering fileless infostealer to Claude Code users via ClickFix
Cyderes เปิดโปงแคมเปญขโมย credential ที่ใช้เว็บปลอม Anthropic หลอกผู้ใช้ Claude Code มือใหม่ เริ่มจาก SEO poisoning พาเหยื่อไปหน้าปลอม แล้วใช้กลลวง ClickFix ให้รันคำสั่ง mshta.exe ดึงไฟล์ MP3/HTA polyglot ขนาด 6.7 MB การโจมตีรันในหน่วยความจำล้วน ไม่เขียนไฟล์ลงดิสก์ ใช้ PowerShell 32-bit และ AMSI bypass หลบ EDR สุดท้ายฝัง .NET infostealer ขโมย credential จากเบราว์เซอร์ส่งไปเซิร์ฟเวอร์รัสเซีย Anthropic เองไม่ได้ถูกเจาะ

Nimbus Manticore โจมตี 3 ระลอกไม่หยุด — MiniFast, MiniJunk V2, SEO Poisoning และ ATG Gas Station ในสหรัฐฯ

Iranian APT Nimbus Manticore deploys MiniFast MiniJunk V2 SEO poisoning and attacks US gas station ATG systems
Check Point Research และ Palo Alto Networks Unit 42 รายงานว่า Nimbus Manticore (UNC1549/IRGC) เร่งปฏิบัติการโจมตี 3 ระลอกต่อเนื่องตั้งแต่กุมภาพันธ์–เมษายน 2569 ใช้ MiniJunk ผ่าน AppDomain Hijacking, MiniFast ผ่าน Zoom ปลอม และ SEO Poisoning ผ่านไซต์ getsqldeveloper[.]com รวมถึง MiniJunk V2 โจมตีบริษัท Oil & Gas ในสหรัฐฯ และพบร่องรอยโจมตีระบบ ATG reader ในปั๊มน้ำมันหลายรัฐ โค้ด MiniFast มีรูปแบบบ่งชี้ว่าพัฒนาด้วย AI เพื่อเร่งปฏิบัติการในช่วงสงคราม

เว็บปลอม Gemini CLI และ Claude Code แพร่ Infostealer ผ่าน SEO Poisoning — ขโมย Session ของ Slack, Teams, Zoom และอีกหลายแพลตฟอร์ม

Fake Gemini CLI and Claude Code sites spread infostealers via SEO poisoning
นักวิจัยจาก EclecticIQ เปิดเผยแคมเปญที่สร้างเว็บไซต์ปลอมของ Google Gemini CLI และ Anthropic Claude Code แล้วใช้ SEO poisoning ดันให้ขึ้นอันดับแรกในผลค้นหา เมื่อเหยื่อรัน PowerShell command ที่แสดงบนหน้าเว็บปลอม จะดาวน์โหลด infostealer ที่ทำงานในหน่วยความจำ ขโมย session cookies ของ Slack, Teams, Zoom, Discord และข้อมูลเบราว์เซอร์