เตือนภัย! กลลวงใหม่ ClickFix ปลอมหน้า Google / Cloudflare หลอกผู้ใช้รันคำสั่ง ติดตั้งมัลแวร์รวดเดียว 7 ตระกูล
นักวิเคราะห์ความปลอดภัยทางไซเบอร์ตรวจพบแคมเปญการโจมตีในรูปแบบ Social Engineering (วิศวกรรมสังคม) ขั้นสูงที่เรียกว่า "ClickFix" ซึ่งกำลังขยายตัวอย่างรวดเร็ว โดยอาศัยความเชื่อใจของกลุ่มผู้ใช้งานทั่วไปที่มีต่อบริการระดับโลกอย่าง Google และ Cloudflare เพื่อหลอกให้เหยื่อกลายเป็นผู้ติดตั้งมัลแวร์ลงบนเครื่องของตัวเองโดยไม่รู้ตัว
จากการตรวจสอบพบว่า แคมเปญนี้เพียงแคมเปญเดียวสามารถแพร่กระจายมัลแวร์สายพันธุ์อันตรายได้พร้อมกันถึง 7 ตระกูล (เช่น มัลแวร์ขโมยข้อมูล Infostealer และมัลแวร์ควบคุมระยะไกล RAT เช่น Lumma Stealer, DarkGate และ NetSupport RAT)
💡 กลไกการหลอกลวง: "ClickFix" ทำงานอย่างไร?
ความน่ากลัวของเทคนิค ClickFix คือ มันไม่ได้พึ่งพาการดาวน์โหลดไฟล์มัลแวร์ตรงๆ ที่ระบบแอนตี้ไวรัสทั่วไปจะตรวจจับได้ง่าย แต่ใช้วิธี "หลอกให้เหยื่อก๊อปปี้โค้ดไปวางเอง" ตามขั้นตอนดังนี้:
1. สร้างหน้าต่างแจ้งเตือนปลอม: แฮกเกอร์จะฝังโค้ดไว้ในเว็บไซต์ที่โดนแฮก หรือสร้างหน้าเว็บตกเบ็ด (Phishing) ขึ้นมา โดยเลียนแบบหน้าตรวจสอบความเป็นมนุษย์ (เช่น Google reCAPTCHA, Cloudflare Turnstile) หรือหน้าต่างแจ้งเตือนเบราว์เซอร์เกิดข้อผิดพลาด (Browser Error)
2. สร้างสถานการณ์ฉุกเฉิน: หน้าเว็บจะแสดงข้อความทำนองว่า "ไม่สามารถแสดงผลหน้าเว็บได้ กรุณาอัปเดตระบบ" หรือ "การยืนยันตัวตนล้มเหลว กรุณาทำตามขั้นตอนเพื่อแก้ไข"
3. หลอกให้กดปุ่ม Fix It: เมื่อผู้ใช้กดปุ่ม ตัวเว็บจะแอบคัดลอกคำสั่งอันตราย (PowerShell Command) ลงในคลิปบอร์ด (Clipboard) ของเครื่องคอมพิวเตอร์โดยอัตโนมัติ
4. หลอกให้รันคำสั่งด้วยตัวเอง: หน้าเว็บจะขึ้นคำแนะนำทีละสเต็ป บอกให้ผู้ใช้กดปุ่ม Windows + R (เพื่อเปิดช่อง Run) จากนั้นกด Ctrl + V (เพื่อวางโค้ดที่แอบก๊อปมา) แล้วกด Enter
5. ติดเชื้อทันที: ทันทีที่กด Enter คำสั่ง PowerShell จะเริ่มทำงานในเบื้องหลัง ไปดาวน์โหลดมัลแวร์จากเซิร์ฟเวอร์ของแฮกเกอร์มาฝังในเครื่องทันที ซึ่งวิธีนี้สามารถบายพาสระบบความปลอดภัยอย่าง Google Safe Browsing รวมถึงแอนตี้ไวรัส (EDR/AV) ส่วนใหญ่ได้ เพราะระบบมองว่า "ผู้ใช้งานเป็นคนสั่งรันคำสั่งนี้ด้วยตัวเอง"
🎯 ผลกระทบ: มัลแวร์ 7 ตระกูลที่แพร่กระจาย
เมื่อเครื่องคอมพิวเตอร์หลงกลรันคำสั่งดังกล่าว แฮกเกอร์จะส่งมัลแวร์หลากชนิดเข้ามาติดตั้งตามวัตถุประสงค์ ซึ่งรวมถึง:
• Infostealers (มัลแวร์ขโมยข้อมูล): แอบสูบข้อมูลรหัสผ่านที่บันทึกไว้ในเบราว์เซอร์, ข้อมูลคุกกี้ (Session Cookies), และกระเป๋าเงินคริปโต (Crypto Wallets)
• Remote Access Trojans (RATs): เปิดทางให้แฮกเกอร์สามารถรีโมทเข้ามาควบคุมเครื่องคอมพิวเตอร์ของคุณได้จากระยะไกลเหมือนนั่งอยู่หน้าจอ
🛡️ วิธีป้องกันตนเองให้ปลอดภัย
• กฎเหล็ก: บริการที่ถูกต้องของ Google, Cloudflare หรือ Microsoft จะไม่มีวัน ขอให้คุณคัดลอกคำสั่งคำสั่ง PowerShell ไปวางในเครื่องเพื่อแก้ปัญหาเว็บพังหรือเพื่อยืนยันตัวตนเด็ดขาด
• อย่าตื่นตระหนกกับเวลานับถอยหลัง: หน้าเว็บ ClickFix มักใช้เวลานับถอยหลัง (Timer) มาบีบคั้นให้เราเร่งรีบโดยไม่ทันคิด
• ตรวจสอบ URL เสมอ: ดูแถบที่อยู่เว็บ (Address Bar) ให้ดีว่าตรงกับบริการจริงหรือไม่ แฮกเกอร์มักใช้โดเมนเนมแปลกๆ หรือโดเมนเก่าที่หมดอายุแล้วนำมาดัดแปลงใช้หลอกลวง
Reference : FBI and Spanish Police Arrest Alleged Cyber Army of Russia Reborn Member
To give you a better experience, by continuing to use our website, you are agreeing to the use of cookies and personal data as set out in our Privacy Policy | Terms and Conditions