
ที่มาภาพ: The Hacker News
การวิจัยเปิดเผยวิธีจัดส่งมัลแวร์ผ่าน API ของ ClickFix ที่หลบการตรวจจับ
⚡ สรุป 30 วิ
การวิจัยวิเคราะห์ payload ของ ClickFix พบว่าอาชญากรไซเบอร์ใช้เซิร์ฟเวอร์ API ส่งไฟล์อันตรายแบบอับฟุสเคชั่น ทำให้หลบการตรวจจับของ Windows และระบบ EPP แบบเดิม
การวิจัยล่าสุดที่ตรวจสอบ payload ของระบบหลอกลวง “ClickFix” จำนวนกว่า 3,000 ตัว เปิดเผยว่าอาชญากรไซเบอร์ได้เปลี่ยนวิธีส่งมอบมัลแวร์จากการพึ่งพาการคลิกของผู้ใช้เป็นการแจกจ่ายผ่าน API‑driven server ที่สร้างไฟล์อันตรายในรูปแบบที่แตกต่างกันแต่มีเนื้อหาเดียวกัน นอกจากนี้ยังพบวิธีการใหม่ที่ออกแบบมาเพื่อหลบการสแกนสคริปต์ของ Windows ทำให้ภัยคุกคามนี้มีความเสี่ยงต่อผู้ใช้ทั่วโลกเพิ่มขึ้น
Overview
การหลอกลวงแบบ “ClickFix” นั้นอาศัยหน้าจอ “prove you’re human” เพื่อให้ผู้ใช้คลิกและดาวน์โหลดไฟล์ที่อันตราย การวิจัยที่ดำเนินการโดยผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ระบุว่าระบบนี้ได้พัฒนาจากการใช้สคริปต์ที่ผู้ใช้ต้องเรียกใช้ด้วยตนเอง ไปสู่การจัดการ API ที่สามารถส่งมอบไฟล์อันตรายโดยอัตโนมัติให้กับผู้เยี่ยมชมทุกคน
แม้ว่าแนวคิดพื้นฐานของ ClickFix จะดูเหมือนเทคนิคเก่า ๆ แต่การใช้ API ทำให้การกระจายมัลแวร์เป็นไปอย่างต่อเนื่องและมีประสิทธิภาพมากขึ้น นักวิจัยได้สังเกตว่ามี 3,000 payload ที่ยังคงทำงานอยู่บนเซิร์ฟเวอร์เหล่านี้ ซึ่งหมายความว่าการโจมตียังคงดำเนินต่อไปแม้หลังจากที่หลายเว็บไซต์ได้ทำการลบล้างลิงก์เดิมแล้ว
Technical Details
การทำงานของ API‑driven server นั้นเริ่มจากการรับคำขอจากผู้เยี่ยมชมหน้า “prove you’re human” แล้วส่งกลับ ไฟล์อันตราย ที่ถูกเข้ารหัสหรือเปลี่ยนชื่อให้ดูเหมือนไฟล์ธรรมดา เช่น ตัวติดตั้งซอฟต์แวร์หรือสคริปต์ PowerShell การทำเช่นนี้ทำให้ระบบป้องกันแบบดั้งเดิมที่พิจารณาจาก URL หรือชื่อไฟล์ไม่สามารถตรวจจับได้
นักวิจัยยังเจอว่าไฟล์ที่ส่งกลับมานั้นมักใช้ **เทคนิคการบิดเบือน (obfuscation) เช่น การเข้ารหัส Base64 หรือการใช้ตัวแปรที่สุ่มสร้างเพื่อทำให้โค้ดดูแปลกใหม่ในแต่ละครั้ง แม้ว่าเนื้อหาหลักของมัลแวร์จะเหมือนกันทุกไฟล์ แต่การบิดเบือนเหล่านี้ทำให้ระบบป้องกันต้องประมวลผลหลายรูปแบบก่อนจะสรุปว่าเป็นอันตราย
New Delivery Technique
นอกเหนือจากการใช้ API เพื่อแจกจ่ายไฟล์อันตรายแล้ว การวิจัยยังพบ วิธีการส่งมอบใหม่ ที่ออกแบบมาเพื่อหลบการสแกนสคริปต์ของ Windows โดยเฉพาะ
- ใช้สคริปต์ PowerShell ที่รวม คำสั่งบีบอัด (compression) ภายในเพื่อให้โค้ดดูเหมือนไฟล์บีบอัดธรรมดา
- แทรก คำสั่งเรียกใช้ DLL ผ่านการอ้างอิงแบบ dynamic ที่ไม่ปรากฏในไฟล์ต้นฉบับ
- ปรับเปลี่ยน ค่าไฟล์ metadata ให้สอดคล้องกับไฟล์ระบบที่ Windows ยอมรับโดยอัตโนมัติ
วิธีการเหล่านี้ทำให้เครื่องมือสแกนของ Windows ที่มุ่งเน้นตรวจจับสคริปต์ที่มีลักษณะเด่นไม่สามารถระบุไฟล์เหล่านี้เป็นอันตรายได้ทันที
Impact
การเปลี่ยนแปลงนี้ส่งผลกระทบต่อหลายฝ่าย ผู้ใช้ปลายทางอาจถูกหลอกให้ดาวน์โหลดไฟล์อันตรายโดยไม่รู้ตัวแม้จะใช้เว็บเบราว์เซอร์ที่อัพเดตล่าสุด เนื่องจากการตรวจจับต้องพึ่งพา signature‑based detection ที่ไม่สามารถรับมือกับการบิดเบือนที่หลากหลายได้
องค์กรที่พึ่งพา **Endpoint Protection Platform (EPP) แบบดั้งเดิมอาจเผชิญกับการเจาะระบบที่ซับซ้อนมากขึ้น เนื่องจากมัลแวร์ที่ถูกส่งมอบผ่าน API นี้มักจะถูกออกแบบให้หลบการตรวจจับบนระดับไฟล์และกระบวนการเริ่มต้น (execution)
การวิจัยยังชี้ให้เห็นว่าการใช้ API เพื่อจัดการ payload ทำให้แหล่งที่มาของมัลแวร์สามารถปรับขนาดการกระจายได้อย่างรวดเร็ว หากไม่มีการตรวจจับที่อิงพฤติกรรม (behavior‑based detection) การโจมตีอาจขยายตัวไปยังเครือข่ายองค์กรและระบบสำคัญได้อย่างกว้างขวาง
Mitigation
เพื่อรับมือกับภัยคุกคามที่เปลี่ยนแปลงตามเทคนิคนี้ ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้
- ปรับใช้ **การตรวจจับพฤติกรรม (behavioral analytics) บนระดับ endpoint เพื่อระบุการเรียกใช้ PowerShell หรือ DLL ที่ไม่ปกติ
- กำหนด นโยบายการจัดการไฟล์ดาวน์โหลด ให้บังคับตรวจสอบไฟล์ที่มาจากแหล่งที่ไม่รู้จักก่อนทำการเปิดหรือรัน
- ใช้ **Web Application Firewall (WAF) ที่สามารถตรวจจับและบล็อกคำขอไปยัง API ที่ไม่ได้รับการรับรอง
การอัปเดตระบบป้องกันอย่างสม่ำเสมอและการฝึกอบรมผู้ใช้ให้ระมัดระวังต่อหน้าต่าง “prove you’re human” ยังเป็นแนวทางสำคัญในการลดความเสี่ยงจากการโจมตีแบบ ClickFix
Summary
การวิจัยเปิดเผยว่า ClickFix ใช้ API‑driven server เพื่อแจกจ่ายมัลแวร์ในรูปแบบที่บิดเบือนและหลบการสแกนของ Windows ทำให้ภัยคุกคามนี้มีความซับซ้อนและขยายตัวอย่างรวดเร็ว การปรับใช้การตรวจจับพฤติกรรมและการเสริมมาตรการด้านเว็บแอปพลิเคชันจึงเป็นแนวทางสำคัญในการป้องกันการโจมตีในอนาคต.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- Researcher Analyzes 3,000 Live ClickFix Payloads, Exposing API-Driven Malware Delivery
- ผู้เขียน
- [email protected] (The Hacker News)
- แหล่ง
- The Hacker News
- วันที่เผยแพร่
- 1 กรกฎาคม 2569 เวลา 12:32



