การโจมตี ClickFix รูปแบบใหม่หลอกเหยื่อติดตั้งมัลแวร์ขโมยข้อมูล MetaStealer

Last updated: 4 Sept 2025

231 Views

สรุปข้อมูล

ตรวจพบรูปแบบการโจมตี ClickFix แบบใหม่ที่ปลอมตัวเป็นตัวติดตั้งโปรแกรม AnyDesk เพื่อหลอกให้เหยื่อติดมัลแวร์ขโมยข้อมูลชื่อ MetaStealer ซึ่งในการโจมตีครั้งนี้ มีเป้าหมายหลัก ๆ คือการขโมยข้อมูลสำคัญ รหัสผ่าน และกระเป๋าเงินดิจิทัลโดยอาศัยหน้าเว็บปลอมของ Cloudflare Turnstile ทำให้องค์กรเกิดความเสียหายทางการเงินและชื่อเสียงได้

รายละเอียดการโจมตี

เริ่มแรกแฮกเกอร์จะสร้างเว็บไซต์ AnyDesk ปลอม เมื่อเหยื่อเข้าไปยังเว็บไซต์ดังกล่าวจะถูกส่งไปยังหน้า Cloudflare Turnstile ปลอม จากนั้นแฮกเกอร์จะหลอกให้เหยื่อ "verify you are human" เมื่อคลิกแล้ว เหยื่อจะไม่ได้รับการแนะนำให้วางคำสั่งลงใน Run เหมือนกับการโจมตี ClickFix แบบคลาสสิก แต่สคริปต์ PHP บนหน้าเว็บจะเปลี่ยนเส้นทางเหยื่อไปยังยัง Windows File Explorer แทนผ่านตัวจัดการ URI ของ search-ms

รูปที่ 1: หน้าเว็บ Cloudflare Turnstile ปลอม

จากนั้น Windows File Explorer จะเปิดการเชื่อมต่อไปยัง SMB Share ที่แฮกเกอร์ควบคุม โดยแสดงไฟล์ LNK ที่ปลอมเป็นไฟล์ PDF ชื่อ Readme Anydesk.pdf เมื่อเหยื่อเปิดไฟล์ดังกล่าวแล้ว มันจะเรียกใช้ cmd เพื่อดาวน์โหลดตัวติดตั้ง AnyDesk ของจริงผ่าน Microsoft Edge เพื่อไม่ให้เหยื่อสงสัย ขณะเดียวกันก็จะดาวน์โหลดไฟล์ PDF ปลอม จาก chat1[.]store ลงในโฟลเดอร์ Temp ซึ่งจริง ๆ แล้วคือ MSI package ที่ถูกติดตั้งผ่าน msiexec โดยภายในบรรจุมัลแวร์หลายไฟล์ เช่น 1[.]js ที่ใช้ลบหลักฐานการโจมตี และ ls26[.]exe ที่ใช่ในการติดตั้งมัลแวร์ MetaStealer ซึ่งทำหน้าที่ในการขโมยข้อมูลสำคัญ

ผลกระทบจากการโจมตี

จากการโจมตีในเหตุการณ์ดังกล่าวส่งผลให้แฮกเกอร์สามารถเข้าถึงและขโมยข้อมูลสำคัญของเหยื่อ ได้โดยตรง ไม่ว่าจะเป็นรหัสผ่าน ข้อมูลการล็อกอิน ไฟล์ที่บันทึกไว้ในเครื่องไปจนถึง ข้อมูลกระเป๋าเงินดิจิทัล ซึ่งเป็นเป้าหมายหลักของมัลแวร์ MetaStealer นอกจากนี้ยังทำให้แฮกเกอร์สามารถใช้ข้อมูลที่ได้มาเพื่อ เจาะบัญชีบริการออนไลน์อื่น ๆ ของเหยื่อ ขยายการเข้าถึงเครือข่ายองค์กร และก่อให้เกิดความเสียหายทางการเงินและชื่อเสียงตามมาได้

สรุปการโจมตี

การโจมตีนี้เริ่มจากแฮกเกอร์สร้างเว็บไซต์ AnyDesk ปลอมพร้อมหน้า Cloudflare Turnstile หลอกให้เหยื่อกดตรวจสอบแล้วถูกเปลี่ยนเส้นทางไปยัง Windows File Explorer เพื่อเชื่อมต่อ SMB Share ที่ควบคุมโดยแฮกเกอร์ ซึ่งมีไฟล์ LNK ปลอม ที่เมื่อเหยื่อเปิดไฟล์จะดาวน์โหลดตัวติดตั้ง AnyDesk จริงมาบังหน้า และติดตั้ง MSI อันตราย ที่ภายในมี Dropper ของมัลแวร์ MetaStealer

คำแนะนำ

Awareness Training เกี่ยวกับรูปแบบการโจมตีให้กับบุคลากรในองค์กร เช่น ClickFix
เปิดใช้งาน Multi-Factor Authentication (MFA) ในการล็อคอินกับทุกบัญชี
จำกัดการเข้าถึงเว็บไซต์ เพื่อป้องกันไม่ให้ผู้ใช้เผลอคลิกลิงก์หรือถูก Redirect ไปยังเว็บอันตราย
อัปเดตและแพตช์ระบบปฏิบัติการและซอฟต์แวร์ทั้งหมดให้เป็นเวอร์ชันล่าสุด
ทำการ Full-Scan ที่ Endpoint ทุก ๆ ครั้งต่อสัปดาห์ เพื่อป้องกันไฟล์อันตราย

แหล่งอ้างอิง

https://www.bleepingcomputer.com/news/security/amazon-disrupts-russian-apt29-hackers-targeting-microsoft-365/

https://aws.amazon.com/blogs/security/amazon-disrupts-watering-hole-campaign-by-russias-apt29/

Tags :