การวิจัยเปิดเผยวิธีจัดส่งมัลแวร์ผ่าน API ของ ClickFix ที่หลบการตรวจจับ

ที่มาภาพ: The Hacker News

Security3 กรกฎาคม 2569 เวลา 12:30อ่าน 6 นาทีThe Hacker News

การวิจัยเปิดเผยวิธีจัดส่งมัลแวร์ผ่าน API ของ ClickFix ที่หลบการตรวจจับ

⚡ สรุป 30 วิ

การวิจัยวิเคราะห์ payload ของ ClickFix พบว่าอาชญากรไซเบอร์ใช้เซิร์ฟเวอร์ API ส่งไฟล์อันตรายแบบอับฟุสเคชั่น ทำให้หลบการตรวจจับของ Windows และระบบ EPP แบบเดิม

การวิจัยล่าสุดที่ตรวจสอบ payload ของระบบหลอกลวง “ClickFix” จำนวนกว่า 3,000 ตัว เปิดเผยว่าอาชญากรไซเบอร์ได้เปลี่ยนวิธีส่งมอบมัลแวร์จากการพึ่งพาการคลิกของผู้ใช้เป็นการแจกจ่ายผ่าน API‑driven server ที่สร้างไฟล์อันตรายในรูปแบบที่แตกต่างกันแต่มีเนื้อหาเดียวกัน นอกจากนี้ยังพบวิธีการใหม่ที่ออกแบบมาเพื่อหลบการสแกนสคริปต์ของ Windows ทำให้ภัยคุกคามนี้มีความเสี่ยงต่อผู้ใช้ทั่วโลกเพิ่มขึ้น

Overview

การหลอกลวงแบบ “ClickFix” นั้นอาศัยหน้าจอ “prove you’re human” เพื่อให้ผู้ใช้คลิกและดาวน์โหลดไฟล์ที่อันตราย การวิจัยที่ดำเนินการโดยผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ระบุว่าระบบนี้ได้พัฒนาจากการใช้สคริปต์ที่ผู้ใช้ต้องเรียกใช้ด้วยตนเอง ไปสู่การจัดการ API ที่สามารถส่งมอบไฟล์อันตรายโดยอัตโนมัติให้กับผู้เยี่ยมชมทุกคน

แม้ว่าแนวคิดพื้นฐานของ ClickFix จะดูเหมือนเทคนิคเก่า ๆ แต่การใช้ API ทำให้การกระจายมัลแวร์เป็นไปอย่างต่อเนื่องและมีประสิทธิภาพมากขึ้น นักวิจัยได้สังเกตว่ามี 3,000 payload ที่ยังคงทำงานอยู่บนเซิร์ฟเวอร์เหล่านี้ ซึ่งหมายความว่าการโจมตียังคงดำเนินต่อไปแม้หลังจากที่หลายเว็บไซต์ได้ทำการลบล้างลิงก์เดิมแล้ว

Technical Details

การทำงานของ API‑driven server นั้นเริ่มจากการรับคำขอจากผู้เยี่ยมชมหน้า “prove you’re human” แล้วส่งกลับ ไฟล์อันตราย ที่ถูกเข้ารหัสหรือเปลี่ยนชื่อให้ดูเหมือนไฟล์ธรรมดา เช่น ตัวติดตั้งซอฟต์แวร์หรือสคริปต์ PowerShell การทำเช่นนี้ทำให้ระบบป้องกันแบบดั้งเดิมที่พิจารณาจาก URL หรือชื่อไฟล์ไม่สามารถตรวจจับได้

นักวิจัยยังเจอว่าไฟล์ที่ส่งกลับมานั้นมักใช้ **เทคนิคการบิดเบือน (obfuscation) เช่น การเข้ารหัส Base64 หรือการใช้ตัวแปรที่สุ่มสร้างเพื่อทำให้โค้ดดูแปลกใหม่ในแต่ละครั้ง แม้ว่าเนื้อหาหลักของมัลแวร์จะเหมือนกันทุกไฟล์ แต่การบิดเบือนเหล่านี้ทำให้ระบบป้องกันต้องประมวลผลหลายรูปแบบก่อนจะสรุปว่าเป็นอันตราย

New Delivery Technique

นอกเหนือจากการใช้ API เพื่อแจกจ่ายไฟล์อันตรายแล้ว การวิจัยยังพบ วิธีการส่งมอบใหม่ ที่ออกแบบมาเพื่อหลบการสแกนสคริปต์ของ Windows โดยเฉพาะ

  • ใช้สคริปต์ PowerShell ที่รวม คำสั่งบีบอัด (compression) ภายในเพื่อให้โค้ดดูเหมือนไฟล์บีบอัดธรรมดา
  • แทรก คำสั่งเรียกใช้ DLL ผ่านการอ้างอิงแบบ dynamic ที่ไม่ปรากฏในไฟล์ต้นฉบับ
  • ปรับเปลี่ยน ค่าไฟล์ metadata ให้สอดคล้องกับไฟล์ระบบที่ Windows ยอมรับโดยอัตโนมัติ

วิธีการเหล่านี้ทำให้เครื่องมือสแกนของ Windows ที่มุ่งเน้นตรวจจับสคริปต์ที่มีลักษณะเด่นไม่สามารถระบุไฟล์เหล่านี้เป็นอันตรายได้ทันที

Impact

การเปลี่ยนแปลงนี้ส่งผลกระทบต่อหลายฝ่าย ผู้ใช้ปลายทางอาจถูกหลอกให้ดาวน์โหลดไฟล์อันตรายโดยไม่รู้ตัวแม้จะใช้เว็บเบราว์เซอร์ที่อัพเดตล่าสุด เนื่องจากการตรวจจับต้องพึ่งพา signature‑based detection ที่ไม่สามารถรับมือกับการบิดเบือนที่หลากหลายได้

องค์กรที่พึ่งพา **Endpoint Protection Platform (EPP) แบบดั้งเดิมอาจเผชิญกับการเจาะระบบที่ซับซ้อนมากขึ้น เนื่องจากมัลแวร์ที่ถูกส่งมอบผ่าน API นี้มักจะถูกออกแบบให้หลบการตรวจจับบนระดับไฟล์และกระบวนการเริ่มต้น (execution)

การวิจัยยังชี้ให้เห็นว่าการใช้ API เพื่อจัดการ payload ทำให้แหล่งที่มาของมัลแวร์สามารถปรับขนาดการกระจายได้อย่างรวดเร็ว หากไม่มีการตรวจจับที่อิงพฤติกรรม (behavior‑based detection) การโจมตีอาจขยายตัวไปยังเครือข่ายองค์กรและระบบสำคัญได้อย่างกว้างขวาง

Mitigation

เพื่อรับมือกับภัยคุกคามที่เปลี่ยนแปลงตามเทคนิคนี้ ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้

  • ปรับใช้ **การตรวจจับพฤติกรรม (behavioral analytics) บนระดับ endpoint เพื่อระบุการเรียกใช้ PowerShell หรือ DLL ที่ไม่ปกติ
  • กำหนด นโยบายการจัดการไฟล์ดาวน์โหลด ให้บังคับตรวจสอบไฟล์ที่มาจากแหล่งที่ไม่รู้จักก่อนทำการเปิดหรือรัน
  • ใช้ **Web Application Firewall (WAF) ที่สามารถตรวจจับและบล็อกคำขอไปยัง API ที่ไม่ได้รับการรับรอง

การอัปเดตระบบป้องกันอย่างสม่ำเสมอและการฝึกอบรมผู้ใช้ให้ระมัดระวังต่อหน้าต่าง “prove you’re human” ยังเป็นแนวทางสำคัญในการลดความเสี่ยงจากการโจมตีแบบ ClickFix

Summary

การวิจัยเปิดเผยว่า ClickFix ใช้ API‑driven server เพื่อแจกจ่ายมัลแวร์ในรูปแบบที่บิดเบือนและหลบการสแกนของ Windows ทำให้ภัยคุกคามนี้มีความซับซ้อนและขยายตัวอย่างรวดเร็ว การปรับใช้การตรวจจับพฤติกรรมและการเสริมมาตรการด้านเว็บแอปพลิเคชันจึงเป็นแนวทางสำคัญในการป้องกันการโจมตีในอนาคต.

แชร์บทความนี้:

ชอบบทความแบบนี้?

สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม

แหล่งข่าวต้นฉบับ

ชื่อต้นฉบับ
Researcher Analyzes 3,000 Live ClickFix Payloads, Exposing API-Driven Malware Delivery
ผู้เขียน
info@thehackernews.com (The Hacker News)
แหล่ง
The Hacker News
วันที่เผยแพร่
1 กรกฎาคม 2569 เวลา 12:32

Related

บทความที่เกี่ยวข้อง

Wallpaper Engine ลบฟีเจอร์สร้างภาพพื้นหลังหลังพบมัลแวร์ในไฟล์ .exeSecurity
3 กรกฎาคม 2569 เวลา 08:00

Wallpaper Engine ลบฟีเจอร์สร้างภาพพื้นหลังหลังพบมัลแวร์ในไฟล์ .exe

Wallpaper Engine ถูกบังคับให้ลบส่วนของแอปพลิเคชันที่สร้างภาพพื้นหลังออกจาก Steam เนื่องจากพบไฟล์ .exe ที่แฝงมัลแวร์ ผู้ใช้ต้องสำรองข้อมูลก่อนวันที่ 6 กรกฎาคม.

GameSpot5 นาที
นักวิจัยแสดงให้โมเดลภาษาใหญ่เปิดสูตรสังเคราะห์โคเคนด้วยการหลอกแบบ role confusionSecurity
2 กรกฎาคม 2569 เวลา 06:30

นักวิจัยแสดงให้โมเดลภาษาใหญ่เปิดสูตรสังเคราะห์โคเคนด้วยการหลอกแบบ role confusion

งานวิจัยของ Charles Ye, Jasmine Cui และ Dylan Hadfield‑Menell แสดงว่า LLM สามารถถูกหลอกให้ให้สูตรโคเคนได้โดยใช้เทคนิค role confusion ผ่านการโจมตีแบบ prompt…

The Register7 นาที
ShinyHunters แฮ็ก NAIC ผ่านช่องโหว่ศูนย์วันของ PeopleSoftSecurity
2 กรกฎาคม 2569 เวลา 03:30

ShinyHunters แฮ็ก NAIC ผ่านช่องโหว่ศูนย์วันของ PeopleSoft

กลุ่ม ShinyHunters ใช้ช่องโหว่ศูนย์วันของ Oracle PeopleSoft เข้าถึงระบบของ NAIC และดึงข้อมูลสาธารณะและไฟล์กำหนดค่าออกมา NAIC…

BleepingComputer6 นาที
SysMon รวมใน Windows 11 ฟรี ช่วยบันทึกกิจกรรมที่ Task Manager พลาดSecurity
1 กรกฎาคม 2569 เวลา 23:00

SysMon รวมใน Windows 11 ฟรี ช่วยบันทึกกิจกรรมที่ Task Manager พลาด

Microsoft รวม SysMon ของ Sysinternals เข้าใน Windows 11 ฟรี ผู้ใช้เปิดใช้งานผ่าน PowerShell เพื่อบันทึกเหตุการณ์เช่น การสร้างโปรเซส การเชื่อมต่อเครือข่าย…

XDA Developers7 นาที
คัดลอกลิงก์แล้ว!