การโจมตี ClickFix: ใช้หน้าจอ BSOD ปลอมของ Windows เพื่อแพร่กระจายมัลแวร์

นักวิจัยได้เปิดเผยการโจมตีทางไซเบอร์รูปแบบใหม่ที่เรียกว่า ‘ClickFix’ ซึ่งใช้เทคนิคการหลอกลวงที่ซับซ้อน โดยแสดงหน้าต่างเบราว์เซอร์แบบเต็มจอที่เลียนแบบหน้าจอ Blue Screen of Death (BSOD) ของ Windows ได้อย่างสมจริง หน้าจอปลอมเหล่านี้จะมีข้อความแจ้งเตือนถึงปัญหาสำคัญของระบบ และมีหมายเลขโทรศัพท์ปลอมสำหรับ ‘ฝ่ายสนับสนุนของ Microsoft’ หรือ ‘Windows Defender’ เพื่อหลอกให้เหยื่อโทรติดต่อ เมื่อเหยื่อโทรไป ผู้โจมตีซึ่งแอบอ้างเป็นเจ้าหน้าที่สนับสนุนจะพยายามโน้มน้าวให้เหยื่อติดตั้งเครื่องมือเข้าถึงระยะไกล เช่น ScreenConnect (ปัจจุบันคือ ConnectWise Control) เพื่อเข้าควบคุมเครื่องคอมพิวเตอร์ ซึ่งนำไปสู่การติดตั้งมัลแวร์เพิ่มเติม การขโมยข้อมูล หรือการเรียกเก็บเงินค่าบริการแก้ไขปัญหาปลอม

Severity: สูง

System Impact:

• ระบบปฏิบัติการ Windows
• เบราว์เซอร์บนเดสก์ท็อป

Technical Attack Steps:

1. ผู้ใช้เข้าชมเว็บไซต์ที่ประสงค์ร้ายหรือถูกเปลี่ยนเส้นทางไปยังหน้าดังกล่าว (อาจผ่าน malvertising หรือ redirects)
2. หน้าต่างเบราว์เซอร์จะแสดงผลแบบเต็มจอ เลียนแบบหน้าจอ Blue Screen of Death (BSOD) ของ Windows ที่ดูสมจริง พร้อมรหัสข้อผิดพลาดและคำแนะนำปลอม
3. หน้าจอ BSOD ปลอมจะแสดง ‘รหัส STOP’ และหมายเลขโทรศัพท์ปลอมสำหรับ ‘ฝ่ายสนับสนุนของ Microsoft’ หรือ ‘Windows Defender’
4. เบราว์เซอร์จะถูกล็อก ทำให้ผู้ใช้ไม่สามารถปิดหน้าต่างได้อย่างง่ายดาย สร้างความตื่นตระหนก
5. ผู้ใช้ที่ตื่นตระหนกจะโทรไปยังหมายเลขที่แสดงบนหน้าจอ
6. ผู้โจมตีที่แอบอ้างเป็นฝ่ายสนับสนุนทางเทคนิคจะหลอกให้ผู้ใช้ยินยอมให้เข้าถึงคอมพิวเตอร์จากระยะไกล (เช่น ผ่าน ScreenConnect/ConnectWise Control หรือเครื่องมืออื่น ๆ)
7. เมื่อได้รับการเข้าถึงระยะไกล ผู้โจมตีจะติดตั้งมัลแวร์เพิ่มเติม ขโมยข้อมูล หรือเรียกเก็บเงินค่าบริการแก้ไขปัญหาปลอม

Recommendations:

Short Term:

• อย่าโทรไปยังหมายเลขโทรศัพท์ที่ปรากฏบนหน้าจอปลอม หรือหมายเลขที่ไม่เป็นทางการของฝ่ายสนับสนุนทางเทคนิค
• บังคับปิดเบราว์เซอร์ที่แสดงหน้าจอปลอมโดยใช้ Task Manager (Ctrl+Shift+Esc) หรือกด Alt+F4 หากไม่ได้ผล ให้รีสตาร์ทคอมพิวเตอร์
• เรียกใช้โปรแกรมป้องกันไวรัส/มัลแวร์เพื่อสแกนระบบอย่างละเอียด หากสงสัยว่ามีการติดตั้งมัลแวร์
• หากมีการให้สิทธิ์เข้าถึงระยะไกลแก่บุคคลที่ไม่รู้จัก ให้ตัดการเชื่อมต่ออินเทอร์เน็ตทันที เปลี่ยนรหัสผ่านทั้งหมดที่อาจถูกเปิดเผย และปรึกษาผู้เชี่ยวชาญด้าน IT

Long Term:

• ให้ความรู้แก่ผู้ใช้ทุกคนในองค์กรหรือที่บ้านเกี่ยวกับกลโกงการสนับสนุนทางเทคนิค และวิธีสังเกตหน้าจอแจ้งเตือนปลอม
• ใช้โปรแกรมป้องกันไวรัสและโซลูชันการป้องกัน Endpoint (EDR) ที่เชื่อถือได้และอัปเดตอยู่เสมอ
• อัปเดตระบบปฏิบัติการและซอฟต์แวร์ทั้งหมดให้เป็นปัจจุบันอยู่เสมอ เพื่อป้องกันช่องโหว่ที่ผู้โจมตีอาจใช้ประโยชน์
• ระมัดระวังป๊อปอัปที่ไม่คาดคิด ข้อความ หรือการโทรที่ไม่พึงประสงค์ที่อ้างว่าเป็นฝ่ายสนับสนุนทางเทคนิค
• สำรองข้อมูลสำคัญเป็นประจำไปยังอุปกรณ์จัดเก็บข้อมูลแยกต่างหากหรือบริการคลาวด์ที่ปลอดภัย

Source: https://www.bleepingcomputer.com/news/security/clickfix-attack-uses-fake-windows-bsod-screens-to-push-malware/