LummaStealer ซึ่งเป็นมัลแวร์ขโมยข้อมูลที่น่ากลัว ได้กลับมาแพร่ระบาดอีกครั้งหลังจากถูกปราบปรามโดยหน่วยงานบังคับใช้กฎหมายในปี 2025 การโจมตีครั้งใหม่นี้เปลี่ยนกลยุทธ์การกระจายจากการใช้ชุด Exploit แบบดั้งเดิม ไปสู่การใช้เทคนิควิศวกรรมสังคมที่รุนแรงขึ้น โดยใช้หน้า CAPTCHA ปลอมที่เรียกว่า “ClickFix” เพื่อหลอกผู้ใช้ให้รันคำสั่งที่เป็นอันตรายโดยไม่รู้ตัว ซึ่งเป็นการหลบเลี่ยงคำเตือนและโปรโตคอลความปลอดภัยมาตรฐาน โครงสร้างการส่งมัลแวร์นี้ได้พัฒนาให้แข็งแกร่งขึ้นและตรวจจับได้ยากขึ้น โดยใช้ Loader ที่ชื่อว่า CastleLoader ซึ่งออกแบบมาเพื่อหลีกเลี่ยงการตรวจจับโดยแอนติไวรัสด้วยการรันโค้ดที่เป็นอันตรายในหน่วยความจำโดยตรง ทำให้ลดร่องรอยดิจิทัลและซับซ้อนต่อการวิเคราะห์ทางนิติวิทยาศาสตร์
Severity: สูง
System Impact:
- ระบบปฏิบัติการ Windows
Technical Attack Steps:
- ผู้โจมตีใช้เทคนิค ‘ClickFix’ โดยนำเสนอหน้า CAPTCHA ปลอมให้ผู้ใช้
- ผู้ใช้ถูกหลอกให้คัดลอกและวางคำสั่งที่เป็นอันตราย ซึ่งจะทำการรันบนระบบของตนเอง
- การหลอกลวงนี้ช่วยให้มัลแวร์หลบเลี่ยงคำเตือนและโปรโตคอลความปลอดภัยมาตรฐาน
- มีการใช้ Loader ที่เรียกว่า CastleLoader เป็นขั้นตอนกลางในการติดเชื้อ
- CastleLoader เป็นสคริปต์ AutoIt ที่ถูกคอมไพล์และมีการอำพรางโค้ดอย่างหนักเพื่อซ่อนเจตนาที่แท้จริง
- ก่อนที่จะดึง Payload สุดท้าย CastleLoader จะทำการตรวจสอบสภาพแวดล้อมเพื่อหลีกเลี่ยง Sandbox หรือสภาพแวดล้อมการวิจัย (เช่น ตรวจหาชื่อคอมพิวเตอร์, ชื่อผู้ใช้ หรือซอฟต์แวร์จำลองเสมือนเช่น VMware/VirtualBox)
- Loader สร้างร่องรอยที่ไม่ซ้ำกันด้วยการสร้างการค้นหา DNS ที่ล้มเหลวสำหรับโดเมนที่ไม่มีอยู่จริง
- เมื่อสภาพแวดล้อมปลอดภัย มัลแวร์จะสร้างความคงทนโดยการคัดลอกตัวเองไปยังโฟลเดอร์ข้อมูลแอปพลิเคชันภายในเครื่องและสร้าง Shortcut การเริ่มต้นระบบ
- LummaStealer จะถูกติดตั้งและเริ่มขโมยข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลรับรองเบราว์เซอร์, คุกกี้เซสชัน, กระเป๋าเงินคริปโตเคอร์เรนซี และโทเค็นการยืนยันตัวตนสองชั้น (2FA)
Recommendations:
Short Term:
- ระมัดระวังเว็บไซต์ที่ขอให้ดำเนินการยืนยันด้วยตนเอง เช่น การคัดลอกและวางโค้ด
Long Term:
- หลีกเลี่ยงการดาวน์โหลดและใช้ซอฟต์แวร์ละเมิดลิขสิทธิ์
- อัปเดตโซลูชันความปลอดภัยบนระบบของคุณให้เป็นปัจจุบันอยู่เสมอ
Source: https://cybersecuritynews.com/fake-captcha-attacks-emerge-as-entry-point-for-lummastealer/
Share this content: