แฮกเกอร์ ปลอมเป็น IT Helpdesk หลอกแพร่มัลแวร์ให้ผู้ใช้ผ่าน MS Teams
กลุ่มแฮกเกอร์ภัยคุกคามที่ถูกติดตามในชื่อ UNC6692 กำลังใช้วิธี “ปลอมตัวเป็นฝ่าย IT” เพื่อหลอกพนักงานให้ติดตั้งมัลแวร์โดยไม่รู้ตัว
ข้อมูลจากรายงานล่าสุดเผยให้เห็นว่า เทคนิคนี้ไม่ได้ซับซ้อนในเชิงเทคนิค แต่กลับอาศัย “ความน่าเชื่อถือ” ของเครื่องมือและพฤติกรรมคนในองค์กรเป็นหลัก ซึ่งทำให้มันอันตรายกว่าที่คิดอย่างมาก
หลอกเป็น IT ทักแชทตรง เจาะองค์กรจาก “ความไว้ใจ”
รูปแบบการโจมตีของ UNC6692 เริ่มจากการส่งข้อความผ่าน Microsoft Teams ไปหาพนักงาน โดยเฉพาะกลุ่มระดับผู้บริหารหรือพนักงานระดับสูง ซึ่งเป็นเป้าหมายหลักถึง 77% ของเหตุการณ์ที่ตรวจพบในช่วงเดือนมีนาคมถึงเมษายน 2026
ผู้โจมตีจะปลอมตัวเป็นเจ้าหน้าที่ IT หรือ Helpdesk แล้วสร้างสถานการณ์ เช่น แจ้งว่าระบบมีปัญหา หรือมีสแปมในอีเมล จากนั้นจะส่งลิงก์ให้เหยื่อกดเพื่อ “แก้ไขปัญหา”
ลิงก์ดังกล่าวจะพาไปดาวน์โหลดเครื่องมือปลอม เช่น “Mailbox Repair and Sync Utility” ซึ่งแท้จริงแล้วเป็นสคริปต์ AutoHotkey ที่ถูกใช้เป็นตัวโหลดมัลแวร์เข้าสู่เครื่อง
จุดสำคัญคือ การโจมตีนี้ไม่ต้องเจาะระบบโดยตรง แต่ใช้ “Social Engineering” ล้วน ๆ และอาศัยความคุ้นเคยของพนักงานกับเครื่องมือภายในองค์กร ทำให้เหยื่อไม่ทันระวัง
ซ่อนมัลแวร์ เนียนจนระบบตรวจจับยาก
หลังจากเหยื่อติดตั้งมัลแวร์แล้ว ผู้โจมตีจะเริ่มยึดเครื่องและขยายการเข้าถึงภายในองค์กร โดยใช้เครื่องมือที่ “ถูกกฎหมาย” และเป็นเครื่องมือ IT จริง เช่น ระบบรีโมตหรือเครื่องมือแอดมินต่าง ๆ
แนวทางนี้ทำให้พฤติกรรมของแฮกเกอร์ดูเหมือนการทำงานปกติของฝ่าย IT จนยากต่อการตรวจจับ และสามารถเคลื่อนที่ภายในระบบ (lateral movement) เพื่อเข้าถึงข้อมูลสำคัญได้อย่างเงียบ ๆ
สิ่งที่น่ากังวลคือ เทคนิคนี้สามารถเริ่มต้นได้ง่ายมาก แค่ “แชทหนึ่งข้อความ” และหากเหยื่อหลงเชื่อ ก็แทบไม่ต้องใช้ช่องโหว่ทางเทคนิคใด ๆ เพิ่มเติม