กลุ่มอาชญากรไซเบอร์ Black Cat ได้กลับมาเคลื่อนไหวอีกครั้งด้วยแคมเปญมัลแวร์ที่ซับซ้อน โดยใช้เทคนิค SEO poisoning เพื่อเผยแพร่ซอฟต์แวร์โอเพนซอร์สปลอมแปลง เช่น Notepad++ การโจมตีนี้อาศัยการจัดอันดับเว็บไซต์ฟิชชิ่งปลอมให้สูงในการค้นหา ทำให้ผู้ใช้หลงเชื่อดาวน์โหลดไฟล์ติดตั้งที่เป็นอันตราย ซึ่งแฝงด้วยแบ็กดอร์ที่สามารถควบคุมระยะไกลและขโมยข้อมูลสำคัญได้ มีการประเมินว่าแคมเปญนี้สามารถบุกรุกเซิร์ฟเวอร์ได้ประมาณ 277,800 เครื่องในช่วงเดือนธันวาคม 2025 โดยมีเป้าหมายหลักคือการขโมยข้อมูลผู้ใช้เบราว์เซอร์, บันทึกการกดแป้นพิมพ์ และเนื้อหาในคลิปบอร์ด.
Severity: วิกฤต
System Impact:
- เซิร์ฟเวอร์ (ประมาณ 277,800 เครื่อง)
- ข้อมูลผู้ใช้เบราว์เซอร์
- ข้อมูลการกดแป้นพิมพ์
- เนื้อหาในคลิปบอร์ด
Technical Attack Steps:
- กลุ่ม Black Cat ใช้เทคนิค SEO poisoning เพื่อผลักดันเว็บไซต์ปลอมแปลงสำหรับซอฟต์แวร์โอเพนซอร์สยอดนิยม (เช่น Notepad++) ให้อยู่ในอันดับต้นๆ ของผลการค้นหา
- ผู้ใช้ที่หลงเชื่อจะเข้าเยี่ยมชมเว็บไซต์ฟิชชิ่งที่มีอินเทอร์เฟซเหมือนคลังซอฟต์แวร์ที่ถูกต้องและมีบทความแนะนำเพื่อเพิ่มความน่าเชื่อถือ
- กระบวนการดาวน์โหลดจะมีการเปลี่ยนเส้นทางหลายครั้ง เพื่อนำผู้ใช้ไปยังหน้าเว็บปลอมที่เลียนแบบ GitHub
- ผู้ใช้ดาวน์โหลดไฟล์ติดตั้งซอฟต์แวร์ที่มีมัลแวร์แฝงอยู่
- เมื่อติดตั้ง มัลแวร์จะสร้าง Shortcut หลอกลวงบนเดสก์ท็อปที่ชี้ไปยังจุดเริ่มต้นของแบ็กดอร์แทนแอปพลิเคชันจริง
- มัลแวร์ใช้กลยุทธ์การรันแบบ white-and-black execution โดยใช้ไฟล์ executable ที่ไม่เป็นอันตรายเพื่อโหลดส่วนประกอบ DLL ที่เป็นอันตราย
- DLL ที่เป็นอันตรายจะค้นหาและถอดรหัสไฟล์ที่เข้ารหัสที่ซ่อนอยู่ชื่อ M9OLUM4P.1CCE
- ไฟล์ PE ที่เป็นอันตรายจะถูกโหลดเข้าสู่หน่วยความจำของระบบโดยตรงผ่าน Reflection เพื่อหลีกเลี่ยงการตรวจจับ
- มัลแวร์สร้างรายการ Registry startup เพื่อคงอยู่บนระบบและเริ่มการสื่อสารกับเซิร์ฟเวอร์ Command-and-Control (C2) ที่ hardcoded เป็น sbido.com:2869
- มีการส่งข้อมูลที่ถูกขโมยออกไปอย่างต่อเนื่อง และ IP ของ C2 server จะถูกอัปเดตบ่อยครั้งเพื่อหลีกเลี่ยงการบล็อก
Recommendations:
Short Term:
- ระมัดระวังในการดาวน์โหลดซอฟต์แวร์จากแหล่งที่ไม่รู้จัก โดยเฉพาะอย่างยิ่งที่พบผ่านการค้นหาทางอินเทอร์เน็ต
- ตรวจสอบความถูกต้องของ URL และใบรับรอง SSL/TLS ของเว็บไซต์อย่างละเอียดก่อนดาวน์โหลดซอฟต์แวร์
- ใช้โปรแกรมป้องกันไวรัสและ EDR/XDR ที่มีประสิทธิภาพ และอัปเดตฐานข้อมูลให้ทันสมัยอยู่เสมอ
- หลีกเลี่ยงการคลิกลิงก์ที่น่าสงสัย หรือดาวน์โหลดไฟล์จากเว็บไซต์ที่ไม่น่าเชื่อถือ
Long Term:
- ให้ความรู้และฝึกอบรมด้านความปลอดภัยทางไซเบอร์แก่ผู้ใช้อย่างสม่ำเสมอ เพื่อให้รู้จักสัญญาณของการโจมตีแบบฟิชชิ่งและ SEO poisoning
- ใช้การตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) สำหรับบัญชีสำคัญทั้งหมด
- พิจารณาใช้โซลูชัน Application Whitelisting เพื่อป้องกันไม่ให้ซอฟต์แวร์ที่ไม่ได้รับอนุญาตทำงานบนระบบ
- ใช้ระบบตรวจสอบเครือข่าย (Network Monitoring) เพื่อตรวจจับการสื่อสารที่ผิดปกติไปยังเซิร์ฟเวอร์ C2
- สำรองข้อมูลสำคัญอย่างสม่ำเสมอและเก็บไว้ในที่ปลอดภัยแยกต่างหาก
Source: https://cybersecuritynews.com/black-cat-hacker-group-with-fake-notepad-sites/
Share this content: