TH

สินค้าและบริการ

Firewall Endpoint Detection (AV)& EDR Data Loss Prevention (DLP) Monitoring Log Management E-mail Gateway Cloudflare Total Solutions - Sangfor Onetrust Social Monitoring Service Back up Audio & Visual System Conference Room Wallix & Stromshill UPS CCTV Access Point Server Software Office Blancco Multi-Factor Authentication(MFA)

News Update

News Update

แฮกเกอร์ใช้ไฟล์ติดตั้ง VPN และเบราว์เซอร์ปลอมเพื่อแพร่มัลแวร์ Winos 4.0

นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์ได้เปิดเผยรายละเอียดของแคมเปญมัลแวร์ที่กำลังดำเนินอยู่ ซึ่งกลุ่มแฮกเกอร์ใช้ประโยชน์จากความนิยมของซอฟต์แวร์อย่าง LetsVPN และ QQ Browser โดยสร้างโปรแกรมติดตั้งปลอมขึ้นมาเพื่อหลอกให้ผู้ใช้ดาวน์โหลดและติดตั้งเฟรมเวิร์กมัลแวร์อันตรายที่มีชื่อว่า Winos 4.0

กลไกการโจมตีและการหลบเลี่ยงการตรวจจับ
แคมเปญนี้ถูกตรวจพบเป็นครั้งแรกโดยบริษัทด้านความปลอดภัย Rapid7 ในเดือนกุมภาพันธ์ 2025 โดยมีหัวใจสำคัญคือตัวโหลดมัลแวร์ (loader) ที่ชื่อว่า Catena ซึ่งมีความสามารถสูงในการหลบเลี่ยงโปรแกรมป้องกันไวรัสแบบดั้งเดิม กลไกของ Catena มีดังนี้

    1. ทำงานในหน่วยความจำ: Catena เป็นตัวโหลดมัลแวร์แบบหลายขั้นตอนที่ออกแบบมาให้ทำงานอยู่ภายในหน่วยความจำ (in-memory) ของคอมพิวเตอร์ ทำให้ยากต่อการตรวจจับของซอฟต์แวร์ความปลอดภัยที่เน้นการสแกนไฟล์บนฮาร์ดดิสก์
    2. ฝังโค้ดอันตราย (Shellcode): นักวิจัยระบุว่า Catena ใช้เทคนิคฝังเชลล์โค้ดและตรรกะที่ซับซ้อนเพื่อส่งเพย์โหลดหลัก ซึ่งก็คือมัลแวร์ Winos 4.0 เข้าสู่หน่วยความจำของเครื่องเป้าหมายโดยตรง
    3. เชื่อมต่อเซิร์ฟเวอร์ควบคุม (C2): เมื่อติดตั้งสำเร็จ Winos 4.0 จะเชื่อมต่อกลับไปยังเซิร์ฟเวอร์สั่งการและควบคุม (Command and Control) ของผู้โจมตี ซึ่งส่วนใหญ่ตั้งอยู่ในฮ่องกง เพื่อรอรับคำสั่งเพิ่มเติม หรือดาวน์โหลดมัลแวร์ตัวอื่นๆ ต่อไป


ทำความรู้จัก Winos 4.0 (ValleyRAT)
Winos 4.0 หรือที่รู้จักในอีกชื่อว่า ValleyRAT ถูกเปิดเผยต่อสาธารณะเป็นครั้งแรกโดย Trend Micro ในเดือนมิถุนายน 2024 โดยพบว่ามีความเชื่อมโยงกับกลุ่มภัยคุกคาม Void Arachne (หรือ Silver Fox)

    - ต้นกำเนิด: เป็นเฟรมเวิร์กมัลแวร์ขั้นสูงที่พัฒนาต่อยอดมาจาก Gh0st RAT ซึ่งเป็นโทรจันสำหรับการควบคุมระยะไกล (Remote Access Trojan) ที่เป็นที่รู้จักกันดี
    - ความสามารถ: Winos 4.0 ถูกเขียนด้วยภาษา C++ และมีสถาปัตยกรรมแบบปลั๊กอิน ทำให้ผู้โจมตีสามารถเพิ่มความสามารถใหม่ๆ ได้ง่าย โดยความสามารถพื้นฐานประกอบด้วย:
        - การเก็บเกี่ยวและขโมยข้อมูลจากเครื่องที่ติดเชื้อ
        - การเปิดช่องทางสั่งการระยะไกล (Remote Shell)
        - การใช้เครื่องที่ติดเชื้อเป็นส่วนหนึ่งของเครือข่ายบ็อตเน็ตเพื่อโจมตีแบบปฏิเสธการให้บริการ (DDoS)


การปรับเปลี่ยนยุทธวิธีและเป้าหมาย
กลุ่มผู้โจมตีได้มีการปรับเปลี่ยนยุทธวิธีอย่างต่อเนื่อง ในช่วงต้นปี 2025 พบว่ามีการใช้ไฟล์ติดตั้ง NSIS (Nullsoft Scriptable Install System) ปลอมที่แอบอ้างเป็นโปรแกรม LetsVPN โดยฝัง คำสั่ง PowerShell เพื่อสั่งให้โปรแกรมป้องกันไวรัส Microsoft Defender ยกเว้นการสแกนในโฟลเดอร์ของมัลแวร์ นอกจากนี้ยังใช้ ใบรับรองดิจิทัลที่หมดอายุแล้วของบริษัท Tencent เพื่อให้ไฟล์ดูน่าเชื่อถือและหลีกเลี่ยงการถูกตรวจจับ

แคมเปญก่อนหน้านี้เคยใช้แอปพลิเคชันเกี่ยวกับเกมเป็นเหยื่อล่อ และเคยมีการโจมตีหน่วยงานในไต้หวันผ่านอีเมลฟิชชิ่งที่ปลอมเป็นกรมสรรพากร แสดงให้เห็นว่าเป้าหมายหลักของกลุ่มนี้คือผู้ใช้งานและองค์กรในภูมิภาคที่ใช้ภาษาจีน

โดยสรุป แคมเปญนี้ยังคงดำเนินอยู่ในปี 2025 และสะท้อนให้เห็นถึงความสามารถของกลุ่มผู้โจมตีในการปรับเปลี่ยนเทคนิคอย่างต่อเนื่องเพื่อเพิ่มโอกาสในการโจมตีสำเร็จและหลบเลี่ยงการตรวจจับจากระบบรักษาความปลอดภัย

แหล่งข่าว https://thehackernews.com/2025/05/hackers-use-fake-vpn-and-browser-nsis.html

share :

This website Collects

To give you a better experience, by continuing to use our website, you are agreeing to the use of cookies and personal data as set out in our Privacy Policy | Terms and Conditions

Accept