นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยรายละเอียดของแคมเปญใหม่ที่ผสมผสานเทคนิคหลอกลวง ‘ClickFix’ ด้วย CAPTCHA ปลอม เข้ากับการใช้สคริปต์ Microsoft Application Virtualization (App-V) ที่มีการลงนาม เพื่อกระจายมัลแวร์ขโมยข้อมูล Amatera การโจมตีนี้ใช้ประโยชน์จากการกระทำของผู้ใช้ที่ถูกหลอกและส่วนประกอบระบบที่น่าเชื่อถือเพื่อหลีกเลี่ยงการตรวจจับ แคมเปญ ClickFix ยังคงพัฒนาอย่างต่อเนื่อง โดยมีรูปแบบต่างๆ เช่น JackFix, CrashFix และ GlitchFix รวมถึงการใช้ระบบกระจายทราฟฟิก ErrTraffic เพื่อเพิ่มความซับซ้อนและประสิทธิภาพในการโจมตีเป้าหมาย
Severity: สูง
System Impact:
- ระบบปฏิบัติการ Windows (โดยเฉพาะ Enterprise และ Education editions สำหรับการใช้ประโยชน์จาก App-V)
- Microsoft Application Virtualization (App-V)
- PowerShell
- บริการ Google Calendar (ใช้ไฟล์ ICS เป็น C2)
- เครือข่ายส่งเนื้อหา (CDNs เช่น jsDelivr)
- เว็บไซต์ WordPress ที่ถูกบุกรุก
- เว็บเบราว์เซอร์ (สำหรับการขโมยคุกกี้/โทเค็น และการอัปเดตปลอม)
- แพลตฟอร์มโซเชียลมีเดีย (เช่น Facebook สำหรับการจี้เซสชัน)
Technical Attack Steps:
- การเข้าถึงเริ่มต้น: ผู้ใช้ถูกหลอกด้วยข้อความยืนยัน CAPTCHA ปลอมบนเว็บไซต์ที่ถูกบุกรุก หรือเหยื่อของการหลอกลวงทางสังคมอื่นๆ
- การโต้ตอบของผู้ใช้: ผู้ใช้ถูกสั่งให้คัดลอกและวางคำสั่งที่เป็นอันตรายลงในกล่องโต้ตอบ Windows Run
- การใช้ประโยชน์จากสคริปต์ App-V: คำสั่งที่ป้อนเข้าไปจะเรียกใช้ ‘SyncAppvPublishingServer.vbs’ ซึ่งเป็นสคริปต์ Microsoft App-V ที่มีการลงนาม แทนการเรียกใช้ PowerShell โดยตรง ซึ่งทำหน้าที่เป็น Living-off-the-Land (LotL) binary เพื่อเป็นพร็อกซีการดำเนินการ PowerShell ผ่านส่วนประกอบ Microsoft ที่เชื่อถือได้
- In-Memory Loader: ‘SyncAppvPublishingServer.vbs’ จะเรียกใช้ ‘wscript.exe’ เพื่อดึงและเรียกใช้ In-Memory Loader จากเซิร์ฟเวอร์ภายนอก
- การหลบเลี่ยง Sandbox: Loader ที่ถูกซ่อนจะทำการตรวจสอบเพื่อหลีกเลี่ยงสภาพแวดล้อม Sandbox
- การดึงข้อมูลการกำหนดค่า: Loader จะดึงข้อมูลการกำหนดค่าจากไฟล์ Google Calendar (ICS) สาธารณะ โดยใช้บริการบุคคลที่สามที่เชื่อถือได้เป็น Dead Drop Resolver
- การโหลดแบบหลายขั้นตอน: ข้อมูลการกำหนดค่าจะนำไปสู่ขั้นตอนการโหลดเพิ่มเติม ซึ่งรวมถึงสคริปต์ PowerShell
- เพย์โหลดที่ซ่อนไว้: สคริปต์ PowerShell จะดาวน์โหลดไฟล์ภาพ PNG จากโดเมน เช่น ‘gcdnb.pbrd[.]co’ หรือ ‘iili[.]io’ ซึ่งซ่อนเพย์โหลด PowerShell ที่เข้ารหัสและบีบอัดไว้
- การถอดรหัสและเรียกใช้เพย์โหลด: เพย์โหลดจะถูกถอดรหัส, คลายการบีบอัดด้วย GZip ในหน่วยความจำ และเรียกใช้โดยใช้ Invoke-Expression
- การส่งมอบเพย์โหลดสุดท้าย: Shellcode Loader จะถูกเรียกใช้ ซึ่งจะเปิดใช้งาน Amatera Stealer ในที่สุด
Recommendations:
Short Term:
- ให้ความรู้แก่ผู้ใช้เกี่ยวกับ Social Engineering, CAPTCHA ปลอม และความเสี่ยงของการเรียกใช้คำสั่งที่ไม่รู้จักจากแหล่งที่ไม่น่าเชื่อถือ
- ติดตั้งโซลูชัน Endpoint Detection and Response (EDR) ที่แข็งแกร่งเพื่อตรวจจับพฤติกรรมที่ผิดปกติ แม้กระทั่งจากไบนารีที่เชื่อถือได้
- ตรวจสอบการเรียกใช้งานโปรเซสที่ผิดปกติ โดยเฉพาะที่เกี่ยวข้องกับ ‘SyncAppvPublishingServer.vbs’ หรือ PowerShell ในโหมดซ่อนเร้น/ที่ถูกเข้ารหัส
- ตรวจสอบและจำกัดสิทธิ์ที่ไม่จำเป็นสำหรับผู้ใช้และแอปพลิเคชัน
- ตรวจสอบการเชื่อมต่อขาออกไปยังโดเมนที่ผิดปกติหรือน่าสงสัย และบริการบุคคลที่สามที่ใช้สำหรับ C2 (เช่น Google Calendar, CDNs)
Long Term:
- ใช้โปรแกรมสร้างความตระหนักด้านความปลอดภัยที่ครอบคลุม พร้อมการฝึกอบรมอย่างสม่ำเสมอเกี่ยวกับการฟิชชิ่ง, Social Engineering และแนวทางการท่องเว็บอย่างปลอดภัย
- นำ Threat Intelligence ขั้นสูงมาใช้เพื่อติดตามเทคนิคการโจมตีใหม่ๆ และ Indicator of Compromise (IoCs)
- เสริมสร้างนโยบายควบคุมแอปพลิเคชันเพื่อจำกัดการเรียกใช้สคริปต์และไบนารีที่ไม่ได้รับอนุญาต
- อัปเดตแพตช์และอัปเดตระบบปฏิบัติการ, แอปพลิเคชัน และซอฟต์แวร์ความปลอดภัยอย่างสม่ำเสมอ
- ใช้สถาปัตยกรรม Zero Trust เพื่อลดขอบเขตความเสียหายของการประนีประนอม
- ใช้การบันทึกและตรวจสอบที่แข็งแกร่งทั่วทั้งระบบเพื่ออำนวยความสะดวกในการค้นหาภัยคุกคามและการตอบสนองต่อเหตุการณ์
Source: https://thehackernews.com/2026/01/clickfix-attacks-expand-using-fake.html
Share this content: