การวิจัยเปิดเผยวิธีจัดส่งมัลแวร์ผ่าน API ของ ClickFix ที่หลบการตรวจจับ

ที่มาภาพ: The Hacker News

Security-อ่าน 6 นาทีThe Hacker News

การวิจัยเปิดเผยวิธีจัดส่งมัลแวร์ผ่าน API ของ ClickFix ที่หลบการตรวจจับ

⚡ สรุป 30 วิ

การวิจัยวิเคราะห์ payload ของ ClickFix พบว่าอาชญากรไซเบอร์ใช้เซิร์ฟเวอร์ API ส่งไฟล์อันตรายแบบอับฟุสเคชั่น ทำให้หลบการตรวจจับของ Windows และระบบ EPP แบบเดิม

การวิจัยล่าสุดที่ตรวจสอบ payload ของระบบหลอกลวง “ClickFix” จำนวนกว่า 3,000 ตัว เปิดเผยว่าอาชญากรไซเบอร์ได้เปลี่ยนวิธีส่งมอบมัลแวร์จากการพึ่งพาการคลิกของผู้ใช้เป็นการแจกจ่ายผ่าน API‑driven server ที่สร้างไฟล์อันตรายในรูปแบบที่แตกต่างกันแต่มีเนื้อหาเดียวกัน นอกจากนี้ยังพบวิธีการใหม่ที่ออกแบบมาเพื่อหลบการสแกนสคริปต์ของ Windows ทำให้ภัยคุกคามนี้มีความเสี่ยงต่อผู้ใช้ทั่วโลกเพิ่มขึ้น

Overview

การหลอกลวงแบบ “ClickFix” นั้นอาศัยหน้าจอ “prove you’re human” เพื่อให้ผู้ใช้คลิกและดาวน์โหลดไฟล์ที่อันตราย การวิจัยที่ดำเนินการโดยผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ระบุว่าระบบนี้ได้พัฒนาจากการใช้สคริปต์ที่ผู้ใช้ต้องเรียกใช้ด้วยตนเอง ไปสู่การจัดการ API ที่สามารถส่งมอบไฟล์อันตรายโดยอัตโนมัติให้กับผู้เยี่ยมชมทุกคน

แม้ว่าแนวคิดพื้นฐานของ ClickFix จะดูเหมือนเทคนิคเก่า ๆ แต่การใช้ API ทำให้การกระจายมัลแวร์เป็นไปอย่างต่อเนื่องและมีประสิทธิภาพมากขึ้น นักวิจัยได้สังเกตว่ามี 3,000 payload ที่ยังคงทำงานอยู่บนเซิร์ฟเวอร์เหล่านี้ ซึ่งหมายความว่าการโจมตียังคงดำเนินต่อไปแม้หลังจากที่หลายเว็บไซต์ได้ทำการลบล้างลิงก์เดิมแล้ว

Technical Details

การทำงานของ API‑driven server นั้นเริ่มจากการรับคำขอจากผู้เยี่ยมชมหน้า “prove you’re human” แล้วส่งกลับ ไฟล์อันตราย ที่ถูกเข้ารหัสหรือเปลี่ยนชื่อให้ดูเหมือนไฟล์ธรรมดา เช่น ตัวติดตั้งซอฟต์แวร์หรือสคริปต์ PowerShell การทำเช่นนี้ทำให้ระบบป้องกันแบบดั้งเดิมที่พิจารณาจาก URL หรือชื่อไฟล์ไม่สามารถตรวจจับได้

นักวิจัยยังเจอว่าไฟล์ที่ส่งกลับมานั้นมักใช้ **เทคนิคการบิดเบือน (obfuscation) เช่น การเข้ารหัส Base64 หรือการใช้ตัวแปรที่สุ่มสร้างเพื่อทำให้โค้ดดูแปลกใหม่ในแต่ละครั้ง แม้ว่าเนื้อหาหลักของมัลแวร์จะเหมือนกันทุกไฟล์ แต่การบิดเบือนเหล่านี้ทำให้ระบบป้องกันต้องประมวลผลหลายรูปแบบก่อนจะสรุปว่าเป็นอันตราย

New Delivery Technique

นอกเหนือจากการใช้ API เพื่อแจกจ่ายไฟล์อันตรายแล้ว การวิจัยยังพบ วิธีการส่งมอบใหม่ ที่ออกแบบมาเพื่อหลบการสแกนสคริปต์ของ Windows โดยเฉพาะ

  • ใช้สคริปต์ PowerShell ที่รวม คำสั่งบีบอัด (compression) ภายในเพื่อให้โค้ดดูเหมือนไฟล์บีบอัดธรรมดา
  • แทรก คำสั่งเรียกใช้ DLL ผ่านการอ้างอิงแบบ dynamic ที่ไม่ปรากฏในไฟล์ต้นฉบับ
  • ปรับเปลี่ยน ค่าไฟล์ metadata ให้สอดคล้องกับไฟล์ระบบที่ Windows ยอมรับโดยอัตโนมัติ

วิธีการเหล่านี้ทำให้เครื่องมือสแกนของ Windows ที่มุ่งเน้นตรวจจับสคริปต์ที่มีลักษณะเด่นไม่สามารถระบุไฟล์เหล่านี้เป็นอันตรายได้ทันที

Impact

การเปลี่ยนแปลงนี้ส่งผลกระทบต่อหลายฝ่าย ผู้ใช้ปลายทางอาจถูกหลอกให้ดาวน์โหลดไฟล์อันตรายโดยไม่รู้ตัวแม้จะใช้เว็บเบราว์เซอร์ที่อัพเดตล่าสุด เนื่องจากการตรวจจับต้องพึ่งพา signature‑based detection ที่ไม่สามารถรับมือกับการบิดเบือนที่หลากหลายได้

องค์กรที่พึ่งพา **Endpoint Protection Platform (EPP) แบบดั้งเดิมอาจเผชิญกับการเจาะระบบที่ซับซ้อนมากขึ้น เนื่องจากมัลแวร์ที่ถูกส่งมอบผ่าน API นี้มักจะถูกออกแบบให้หลบการตรวจจับบนระดับไฟล์และกระบวนการเริ่มต้น (execution)

การวิจัยยังชี้ให้เห็นว่าการใช้ API เพื่อจัดการ payload ทำให้แหล่งที่มาของมัลแวร์สามารถปรับขนาดการกระจายได้อย่างรวดเร็ว หากไม่มีการตรวจจับที่อิงพฤติกรรม (behavior‑based detection) การโจมตีอาจขยายตัวไปยังเครือข่ายองค์กรและระบบสำคัญได้อย่างกว้างขวาง

Mitigation

เพื่อรับมือกับภัยคุกคามที่เปลี่ยนแปลงตามเทคนิคนี้ ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้

  • ปรับใช้ **การตรวจจับพฤติกรรม (behavioral analytics) บนระดับ endpoint เพื่อระบุการเรียกใช้ PowerShell หรือ DLL ที่ไม่ปกติ
  • กำหนด นโยบายการจัดการไฟล์ดาวน์โหลด ให้บังคับตรวจสอบไฟล์ที่มาจากแหล่งที่ไม่รู้จักก่อนทำการเปิดหรือรัน
  • ใช้ **Web Application Firewall (WAF) ที่สามารถตรวจจับและบล็อกคำขอไปยัง API ที่ไม่ได้รับการรับรอง

การอัปเดตระบบป้องกันอย่างสม่ำเสมอและการฝึกอบรมผู้ใช้ให้ระมัดระวังต่อหน้าต่าง “prove you’re human” ยังเป็นแนวทางสำคัญในการลดความเสี่ยงจากการโจมตีแบบ ClickFix

Summary

การวิจัยเปิดเผยว่า ClickFix ใช้ API‑driven server เพื่อแจกจ่ายมัลแวร์ในรูปแบบที่บิดเบือนและหลบการสแกนของ Windows ทำให้ภัยคุกคามนี้มีความซับซ้อนและขยายตัวอย่างรวดเร็ว การปรับใช้การตรวจจับพฤติกรรมและการเสริมมาตรการด้านเว็บแอปพลิเคชันจึงเป็นแนวทางสำคัญในการป้องกันการโจมตีในอนาคต.

แชร์บทความนี้:

ชอบบทความแบบนี้?

สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม

แหล่งข่าวต้นฉบับ

ชื่อต้นฉบับ
Researcher Analyzes 3,000 Live ClickFix Payloads, Exposing API-Driven Malware Delivery
ผู้เขียน
[email protected] (The Hacker News)
แหล่ง
The Hacker News
วันที่เผยแพร่
1 กรกฎาคม 2569 เวลา 12:32

Related

บทความที่เกี่ยวข้อง

เผย PoC สาธารณะช่องโหว่ CVE‑2026‑55200 บนไลบรารี libssh2 ทำให้ไคลเอนต์ SSH เสี่ยงต่อการรันโค้ดSecurity
1 กรกฎาคม 2569 เวลา 14:00

เผย PoC สาธารณะช่องโหว่ CVE‑2026‑55200 บนไลบรารี libssh2 ทำให้ไคลเอนต์ SSH เสี่ยงต่อการรันโค้ด

นักวิจัยเผย PoC สาธารณะสำหรับช่องโหว่ CVE‑2026‑55200 บน libssh2 ทำให้ไคลเอนต์ SSH เสี่ยงต่อการทำลายหน่วยความจำและรันโค้ดโดยไม่ต้องยืนยันตัวตน…

The Hacker News6 นาที
Norton VPN เปิดฟีเจอร์ Split Tunneling บน macOS ให้ผู้ใช้ Mac ยืดหยุ่นเท่า WindowsSecurity
29 มิถุนายน 2569 เวลา 02:00

Norton VPN เปิดฟีเจอร์ Split Tunneling บน macOS ให้ผู้ใช้ Mac ยืดหยุ่นเท่า Windows

Norton VPN เพิ่มฟีเจอร์ split tunneling บน macOS ทำให้ผู้ใช้ Mac สามารถเลือกแอปหรือเว็บไซต์ที่ต้องการส่งผ่าน VPN ได้เอง เพิ่มความเร็วและหลีกเลี่ยงการบล็อก…

TechRadar6 นาที
Google รายงาน Backdoor .NET ชื่อ STOCKSTAY ของกลุ่ม Turla ที่โจมตียูเครนและอิตาลีSecurity
28 มิถุนายน 2569 เวลา 14:00

Google รายงาน Backdoor .NET ชื่อ STOCKSTAY ของกลุ่ม Turla ที่โจมตียูเครนและอิตาลี

Google Threat Intelligence Group เปิดเผยว่า Turla ใช้ backdoor .NET ใหม่ชื่อ STOCKSTAY เพื่อโจมตีหน่วยงานรัฐบาลและกองทัพยูเครน รวมถึงองค์กรด้านการทูตของอิตาลี…

The Hacker News7 นาที
แฮกเกอร์เจาะข้อมูล Tata Electronics หลุดเอกสารลับสเปกฮาร์ดแวร์และขั้นตอนการผลิตของ AppleSecurity
26 มิถุนายน 2569 เวลา 07:30

แฮกเกอร์เจาะข้อมูล Tata Electronics หลุดเอกสารลับสเปกฮาร์ดแวร์และขั้นตอนการผลิตของ Apple

Tata Electronics ถูกแฮกเกอร์เจาะข้อมูลสำคัญกว่า 630 GB รวมถึงเอกสารลับของ Apple ที่เผยรายละเอียดสเปกและขั้นตอนการผลิต…

DroidSans7 นาที
คัดลอกลิงก์แล้ว!