103/68 (IT) ประจำวันจันทร์ที่ 17 มีนาคม 2568
บริษัทรักษาความปลอดภัยทางไซเบอร์ Group-IB เปิดเผยว่า ตั้งแต่เดือนสิงหาคม 2567 เป็นต้นมา กลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐ (กลุ่ม APT) และอาชญากรไซเบอร์ต่าง ๆ นำเทคนิค ClickFix มาใช้ในการโจมตีผ่านมัลแวร์ขโมยข้อมูล ซึ่งเทคนิคนี้เป็นการหลอกลวงทางวิศวกรรมสังคมโดยใช้โค้ด JavaScript บนหน้าเว็บ ปลอมเป็นคำเตือนให้อัปเดตระบบหรือยืนยันตัวตนบน reCAPTCHA ปลอม เมื่อเหยื่อทำตามคำแนะนำ เช่น กด Win+R และวางโค้ดที่ถูกคัดลอกไปยังคลิปบอร์ด คำสั่งอันตรายจะถูกเรียกใช้งานโดยทันที ส่งผลให้มัลแวร์ เช่น Lumma, XWorm RAT และ DarkGate ถูกติดตั้งบนอุปกรณ์ของเหยื่อ
Group-IB ระบุว่าแฮกเกอร์ใช้หลายช่องทางเพื่อแพร่กระจายมัลแวร์ เช่น อีเมลฟิชชิ่ง โฆษณาอันตราย ข้อความสแปมบนโซเชียลมีเดีย และเว็บไซต์ที่ถูกบุกรุก โดยกลุ่ม APT อย่าง MuddyWater จากอิหร่าน และ APT28 จากรัสเซียถูกพบว่ามีการใช้ ClickFix ในปฏิบัติการโจมตีของตน โดยเฉพาะกลุ่มเป้าหมายที่ใช้งานเว็บไซต์เกี่ยวกับภาพยนตร์ เกม หรือซอฟต์แวร์ละเมิดลิขสิทธิ์ รวมถึงผู้ใช้ GitHub และองค์กรธุรกิจ ทั้งนี้ ClickFix ถูกพบครั้งแรกในปี 2566 และได้รับการพัฒนาให้ซับซ้อนยิ่งขึ้นในช่วงปี 2568
ล่าสุด Microsoft ก็ได้ออกคำเตือนว่ามีกลุ่มอาชญากรไซเบอร์กำลังใช้ ClickFix โจมตีในประเทศแถบอเมริกาเหนือ ยุโรป โอเชียเนีย และเอเชีย ขณะที่ Cofense ได้เผยรายละเอียดว่าเทคนิคนี้ถูกนำมาใช้เพื่อแพร่กระจายมัลแวร์ XWorm RAT ผู้เชี่ยวชาญเตือนว่าเทคนิค ClickFix มีแนวโน้มพัฒนาให้ซับซ้อนขึ้นเรื่อย ๆ และผู้ใช้งานควรเพิ่มความระมัดระวัง หลีกเลี่ยงการทำตามคำแนะนำจากหน้าเว็บที่ไม่น่าเชื่อถือ และใช้โซลูชันรักษาความปลอดภัยที่ทันสมัยเพื่อลดความเสี่ยงในการตกเป็นเหยื่อ
แหล่งข่าว https://www.securityweek.com/clickfix-widely-adopted-by-cybercriminals-apt-groups/
