Microsoft เตือนภัย! ไฟล์แนบบน WhatsApp แพร่กระจาย Backdoor ยึดเครื่อง Windows

Microsoft ออกโรงเตือน พบการส่งไฟล์แนบอันตรายผ่าน WhatsApp เพื่อแพร่กระจายมัลแวร์ประเภท VBS ที่จะติดตั้ง Backdoor ลงบนเครื่อง PC ช่วยให้แฮกเกอร์เข้าควบคุมระบบจากระยะไกลได้

ทีมวิจัยความปลอดภัย Microsoft Defender ออกมาแจ้งเตือนสาธารณะเกี่ยวกับกลโกงการหลอกลวง (Social Engineering) รูปแบบใหม่ที่เริ่มระบาดตั้งแต่ปลายเดือนกุมภาพันธ์ 2026 โดยเหยื่อจะได้รับข้อความธรรมดาทาง WhatsApp แต่ภายในกลับแฝงอันตรายที่ออกแบบมาเพื่อยึดเครื่องคอมพิวเตอร์ส่วนบุคคล

นักวิจัยของ Microsoft ระบุว่า ปัญหาเริ่มขึ้นเมื่อผู้ใช้ได้รับข้อความที่มีไฟล์ Visual Basic Script (VBS) แนบมาด้วย ซึ่งไฟล์ประเภทนี้คือชุดคำสั่งที่สามารถรันงานต่าง ๆ บนระบบปฏิบัติการ Windows ได้ หากผู้ใช้หลงเชื่อและคลิกไฟล์ดังกล่าว จะเป็นการเริ่มกระบวนการต่อเนื่องที่ยอมให้แฮกเกอร์เข้าควบคุมเครื่องได้จากระยะไกล

"แคมเปญนี้ใช้การผสมผสานระหว่างการหลอกลวง (Social Engineering) และเทคนิค Living-off-the-land (การใช้เครื่องมือที่มีอยู่แล้วในระบบ) การนำแพลตฟอร์มที่น่าเชื่อถือมาใช้ร่วมกับเครื่องมือมาตรฐาน ทำให้ผู้คุกคามสามารถหลบเลี่ยงการตรวจจับและเพิ่มโอกาสในการโจมตีสำเร็จ" นักวิจัยระบุในบล็อกของ Microsoft

กลยุทธ์หลบเลี่ยงระบบรักษาความปลอดภัย

เนื่องจากผู้คนมักรู้สึกปลอดภัยเมื่อใช้งาน WhatsApp จึงมักจะไม่ลังเลที่จะเปิดไฟล์แนบ เมื่อมัลแวร์ถูกรัน มันจะสร้างโฟลเดอร์ลับในไดเรกทอรี C:\ProgramData เพื่อซ่อนร่องรอย และสิ่งที่ฉลาดเป็นพิเศษคือการ "เปลี่ยนชื่อ" เครื่องมือมาตรฐานของ Windows ให้ดูเหมือนไฟล์ที่ไม่มีพิษมีภัย

ตัวอย่างเช่น เครื่องมือที่ชื่อ curl.exe จะถูกเปลี่ยนชื่อเป็น netapi.dll และ bitsadmin.exe จะถูกพรางตาเป็น sc.exe การทำเช่นนี้ช่วยให้แฮกเกอร์สามารถดาวน์โหลดไวรัสตัวอื่นๆ เพิ่มเติมได้ โดยดูเหมือนเป็นกิจกรรมปกติของระบบ นอกจากนี้นักวิจัยยังพบว่ามัลแวร์จะดึงข้อมูลอันตราย (Payloads) มาจากบริการคลาวด์ที่น่าเชื่อถืออย่าง AWS S3, Tencent Cloud และ Backblaze B2 ทำให้ทราฟฟิกที่ผิดปกติถูกกลืนไปกับการใช้งานอินเทอร์เน็ตทั่วไป

การยึดอำนาจควบคุมเครื่อง PC โดยสมบูรณ์

เป้าหมายของการโจมตีนี้คือการได้รับ "สิทธิ์ผู้ดูแลระบบ" (Administrative Privileges) เพื่อให้แฮกเกอร์มีอำนาจเหนือเครื่องคอมพิวเตอร์เท่ากับเจ้าของเครื่องจริงๆ จากการตรวจสอบเพิ่มเติมพบว่า มัลแวร์พยายามเปลี่ยนการตั้งค่า User Account Control (UAC) ซึ่งเป็นฟีเจอร์ความปลอดภัยที่จะคอยถามคำขออนุญาตก่อนมีการเปลี่ยนแปลงระบบ โดยการแก้ไขค่าใน Registry ภายใต้ HKLM\Software\Microsoft\Win เพื่อปิดการแจ้งเตือนเหล่านี้ และทำให้มัลแวร์ยังคงอยู่ในเครื่องแม้จะมีการรีสตาร์ทเครื่องใหม่ก็ตาม

ในขั้นตอนสุดท้าย แฮกเกอร์จะติดตั้งแพ็กเกจซอฟต์แวร์อันตรายที่ดูเหมือนตัวติดตั้งโปรแกรมทั่วไป เช่น WinRAR.msi, Setup.msi หรือ AnyDesk.msi เพื่อสร้างช่องทางเข้าถึงจากระยะไกล ช่วยให้พวกเขาสามารถขโมยข้อมูลส่วนตัว หรือใช้เครื่องที่ติดเชื้อไปโจมตีผู้อื่นต่อได้

เป็นที่น่าสังเกตว่า ตัวติดตั้งเหล่านี้เป็นแบบ "Unsigned" หรือไม่มีใบรับรองความปลอดภัยที่ถูกต้อง Microsoft จึงแนะนำให้ผู้ใช้ระมัดระวังอย่างยิ่งกับไฟล์แนบที่ไม่คาดคิดบน WhatsApp และตรวจสอบให้แน่ใจว่าโปรแกรมป้องกันไวรัสทำงานอยู่เสมอ

มุมมองจากผู้เชี่ยวชาญ:

Yagub Rahimov CEO ของ Polygraf AI ให้ความเห็นว่า การโจมตีนี้สร้างขึ้นบนพื้นฐานของ "ความไว้เนื้อเชื่อใจ" ที่เรามีต่อเครื่องมือและแอปแชทที่เราใช้กันทุกวัน
"ห่วงโซ่การโจมตีนี้สร้างขึ้นจากความเชื่อใจต่อเครื่องมือ, บริการคลาวด์ และแพลตฟอร์มส่งข้อความ... curl.exe กลายเป็น netapi.dll ส่วน Payloads ก็ถูกส่งลงมาจาก AWS หรือ Tencent Cloud ซึ่งเป็นโครงสร้างพื้นฐานที่ฝ่ายป้องกันถูกสอนมาให้อนุญาต ไม่ใช่ตรวจสอบ ไม่มีอะไรในห่วงโซ่นี้ที่ดูผิดปกติจนกว่าจะสายเกินไป และ WhatsApp ก็ยิ่งทำให้สถานการณ์แย่ลง"

Rahimov ซึ่งบริษัทมุ่งเน้นโซลูชัน Zero-trust สำหรับงานข่าวกรองระบุเสริมว่า การใช้แอปส่วนตัวบนอุปกรณ์ทำงานคือจุดอ่อนที่แท้จริง "ไฟล์ .vbs ที่ส่งมาทางนั้นสามารถหลบเลี่ยงระบบ DLP (Data Loss Prevention), ระบบความปลอดภัยอีเมล และการสแกนไฟล์แนบ ซึ่งเป็นเลเยอร์การควบคุมที่องค์กรใช้เวลาสร้างมานานหลายปี... ปัญหาที่ใหญ่กว่าคือ ขอบเขตของภัยคุกคามได้ขยายตัวออกไปทันทีที่พนักงานเริ่มใช้แอปแชทส่วนตัวบนเครื่องทำงาน และระบบรักษาความปลอดภัยส่วนใหญ่ยังตามไม่ทัน"

อ้างอิง : Microsoft Warns of WhatsApp Attachments Spreading Backdoor on Windows PCs