ภัยร้ายห้องประชุมออนไลน์ Microsoft Teams/Google Meet ปลอม ลอบติดตั้งมัลแวร์ Oyster ยึดระบบคอมพิวเตอร์

มัลแวร์แบ็คดอร์ Oyster (หรือที่รู้จักกันในชื่อ Broomstick) กำลังกำหนดเป้าหมายไปที่โลกการเงิน โดยใช้โฆษณาที่สร้างขึ้นเพื่อหลอกล่อให้ค้นหาโปรแกรม PuTTY, Teams และ Google Meet ที่เป็นอันตราย

อาชญากรไซเบอร์กำลังหลอกล่อผู้ใช้ให้ดาวน์โหลดมัลแวร์ที่ปลอมตัวเป็นเครื่องมือสำนักงานยอดนิยม เช่น Microsoft Teams และ Google Meet การโจมตีที่เป็นอันตรายนี้มุ่งเป้าไปที่บุคคลในโลกการเงินเป็นหลัก และมีการเคลื่อนไหวมาตั้งแต่กลางเดือนพฤศจิกายน 2025 ตามรายงานใหม่จากผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ที่ CyberProof

อันตรายอยู่ที่สิ่งที่ผู้เชี่ยวชาญเรียกว่า SEO poisoning (การวางยาพิษ SEO) และ malvertising (การโฆษณาที่เป็นอันตราย) สำหรับข้อมูลของคุณ ในการวางยาพิษ SEO ผู้โจมตีจะบิดเบือนผลการค้นหาเพื่อให้เว็บไซต์ปลอมและอันตรายปรากฏอยู่ด้านบนสุด ในขณะที่ malvertising หมายถึงการใช้โฆษณาออนไลน์เพื่อแพร่มัลแวร์

เหยื่อล่อ: ไฟล์ดาวน์โหลดปลอม

งานวิจัยของ CyberProof ที่แบ่งปันกับ Hackread.com เผยให้เห็นว่าการโจมตีเริ่มต้นด้วยการนำเหยื่อไปยังเว็บไซต์ที่เป็นอันตราย เมื่อผู้ใช้คลิก พวกเขาจะถูกหลอกให้ดาวน์โหลดแบ็คดอร์ Oyster (หรือเรียกอีกอย่างว่า Broomstick และ CleanUpLoader) ซึ่งถูกตรวจพบครั้งแรกในเดือนกันยายน 2023 โดยผู้เชี่ยวชาญด้านความปลอดภัยที่ IBM

การตรวจสอบเพิ่มเติมพบว่าผู้โจมตีกำลังเปลี่ยนแปลงวิธีการของตนอย่างต่อเนื่อง ตัวอย่างเช่น ในเดือนกรกฎาคม 2025 นักวิจัยของ CyberProof พบว่า Oyster ถูกแพร่กระจายผ่านโฆษณาที่แอบอ้างเป็นเครื่องมือไอทีอื่นๆ ที่ได้รับความนิยม โดยเฉพาะ PuTTY และ WinSCP ซึ่งแสดงให้เห็นถึงรูปแบบการกำหนดเป้าหมายเครื่องมือที่ผู้ใช้ค้นหาบ่อย

รายละเอียดการโจมตีล่าสุด

การโจมตีระลอกปัจจุบันเกี่ยวข้องกับการใช้หน้าดาวน์โหลดปลอมสำหรับเครื่องมือสื่อสารออนไลน์ เช่น Microsoft Teams และ Google Meet เพื่อหลอกให้ผู้คนดาวน์โหลดมัลแวร์ โดยมีรายงานบ่งชี้ว่ามันเริ่มต้นเร็วกว่ากลางเดือนพฤศจิกายน

ตามที่ Hackread.com รายงานเมื่อเร็วๆ นี้ การวิจัยจาก Blackpoint Cyber ได้ให้รายละเอียดเกี่ยวกับการโจมตีใหม่ที่เว็บไซต์ปลอมปรากฏขึ้นเมื่อผู้เข้าชมค้นหา "Microsoft Teams download" และส่งมอบแบ็คดอร์ Oyster

เพื่อให้ไฟล์ดูเป็นทางการ โปรแกรมติดตั้งปลอมบางตัว เช่น MSTeamsSetup.exe ได้รับการเซ็นชื่อด้วยรหัส (code-signed) ด้วยใบรับรองจากบริษัทต่างๆ รวมถึง LES LOGICIELS SYSTAMEX INC., Reach First Inc., และ S.N. ADVANCED SEWERAGE SOLUTIONS LTD. นักวิจัยตั้งข้อสังเกตว่าใบรับรองส่วนใหญ่เหล่านี้ถูกเพิกถอนไปแล้ว

ภัยคุกคามที่ยังคงอยู่

แบ็คดอร์ Oyster เป็นปัญหาที่ร้ายแรงเพราะมันสร้างช่องทางเข้าที่ซ่อนอยู่เข้าไปในระบบคอมพิวเตอร์ เมื่อมีการรันโปรแกรมติดตั้งปลอม มันจะปล่อยไฟล์อันตรายที่ชื่อว่า AlphaSecurity.dll ลงในโฟลเดอร์บนคอมพิวเตอร์ของคุณ

เพื่อความคงทน โปรแกรมติดตั้งจะสร้าง Scheduled Task หรือ "งานตามกำหนดการ" ที่ชื่อว่า 'AlphaSecurity' ซึ่งทำให้แน่ใจว่าไฟล์อันตรายจะทำงานทุก 18 นาที ทำให้แบ็คดอร์ยังคงทำงานอยู่แม้หลังจากรีสตาร์ทคอมพิวเตอร์

ในขณะที่การโจมตีปัจจุบันเริ่มต้นในเดือนพฤศจิกายน 2025 นักวิจัยตั้งข้อสังเกตว่าภัยคุกคามในวงกว้างนี้ ซึ่งใช้การรวมกันของ SEO และ malvertising มีการใช้งานมาตั้งแต่เดือนพฤศจิกายน 2024 เป็นอย่างน้อย พวกเขาอธิบายว่ากลุ่ม ransomware หลายกลุ่ม เช่น Rhysida ที่เป็นที่รู้จักกันดี มีรายงานว่าใช้แบ็คดอร์นี้ในการโจมตีเครือข่ายขององค์กร ซึ่งทำให้เรื่องนี้เป็นเรื่องที่น่ากังวลอย่างยิ่ง

"เนื่องจากมีความเชื่อมโยงบางอย่างกับกลุ่ม ransomware ที่ดำเนินการโดยมนุษย์ (human-operated ransomware groups) เราเชื่อมั่นอย่างยิ่งและคาดการณ์ว่ากลุ่มภัยคุกคามนี้จะยังคงมีการเคลื่อนไหวไปจนถึงปี 2026" นักวิจัยของ CyberProof ประเมิน

เพื่อป้องกันตนเอง โปรดจำไว้ว่าให้ดาวน์โหลดซอฟต์แวร์โดยตรงจากเว็บไซต์อย่างเป็นทางการของผู้พัฒนาหรือร้านค้าแอปที่เชื่อถือได้เสมอ และหลีกเลี่ยงการคลิกผลการค้นหาหรือโฆษณาป๊อปอัพสำหรับการดาวน์โหลด เนื่องจากนี่คือวิธีการที่แบ็คดอร์ Oyster แพร่กระจายอย่างแม่นยำ

Reference : https://hackread.com/fake-microsoft-teams-google-meet-download-oyster-backdoor/