แฮกเกอร์สร้างเว็บดาวน์โหลดปลอม ติดตั้งมัลแวร์ขุดคริปโตและเปิดช่องคุมเครื่อง
Microsoft ออกมาเตือนถึงแคมเปญโจมตีไซเบอร์รูปแบบใหม่ที่กำลังแพร่ระบาดอยู่ในขณะนี้ โดยผู้โจมตีใช้ทั้งเทคนิคปั่นผลการค้นหา (SEO Poisoning) และอาศัยคำแนะนำจาก AI Chatbot เพื่อหลอกให้ผู้ใช้ดาวน์โหลดโปรแกรมยอดนิยมจากเว็บไซต์ปลอม ก่อนติดตั้งมัลแวร์ขุดคริปโตและเปิดช่องทางควบคุมเครื่องจากระยะไกล
สิ่งที่น่ากังวลคือผู้โจมตีไม่ได้มุ่งเน้นการติดมัลแวร์ในวงกว้าง แต่เลือกเจาะกลุ่มผู้ใช้ที่มีคอมพิวเตอร์ประสิทธิภาพสูง โดยเฉพาะเจ้าของเครื่องที่ติดตั้งการ์ดจอระดับสูง Microsoft ระบุว่าการโจมตีครั้งนี้แสดงให้เห็นว่า AI Chatbot อาจกลายเป็นอีกช่องทางหนึ่งที่ช่วยเพิ่มการมองเห็นของเว็บไซต์อันตราย หากผู้ใช้งานเชื่อคำแนะนำโดยไม่ตรวจสอบแหล่งที่มาอย่างรอบคอบ
เว็บปลอมเลียนแบบโปรแกรมดัง หลอกเหยื่อดาวน์โหลดมัลแวร์
ผู้โจมตีสร้างเว็บไซต์ปลอมที่มีหน้าตาและเนื้อหาคล้ายกับเว็บไซต์ทางการของโปรแกรมยอดนิยมหลายตัว เช่น CrystalDiskInfo, HWMonitor, Display Driver Uninstaller (DDU), FurMark, K-Lite Codec Pack และ PDFgear
เมื่อผู้ใช้ค้นหาชื่อโปรแกรมเหล่านี้ผ่าน Search Engine หรือสอบถาม AI Chatbot เกี่ยวกับแหล่งดาวน์โหลด ระบบอาจแสดงลิงก์ที่ถูกปั่นอันดับขึ้นมา หรือในบางกรณี AI อาจอ้างอิงลิงก์จากเว็บไซต์ปลอมเหล่านี้โดยไม่ตั้งใจ หลังดาวน์โหลดไฟล์ ZIP จากเว็บไซต์ปลอม ผู้ใช้จะได้รับโปรแกรมจริงควบคู่กับไฟล์ DLL อันตราย เมื่อเปิดใช้งาน โปรแกรมจริงจะโหลด DLL ดังกล่าวผ่านเทคนิค DLL Sideloading ทำให้มัลแวร์เริ่มทำงานโดยที่ผู้ใช้ไม่สังเกตเห็นความผิดปกติใด ๆ
จากนั้นมัลแวร์จะติดตั้งซอฟต์แวร์ควบคุมเครื่องระยะไกล ScreenConnect ซึ่งเป็นเครื่องมือที่ถูกต้องตามกฎหมาย แต่ถูกนำมาใช้ในทางที่ผิดเพื่อสร้างช่องทางเข้าถึงระบบอย่างถาวร
ขุดคริปโตเงียบ ๆ พร้อมเปิดทางโจมตีเพิ่มเติม
หลังยึดเครื่องได้สำเร็จ ผู้โจมตีจะติดตั้งมัลแวร์ขุดคริปโตหลายรูปแบบ เช่น GMiner, lolMiner และ SRBMiner-MULTI โดยเลือกดาวน์โหลดตามสภาพแวดล้อมของเครื่องเป้าหมาย มัลแวร์ถูกออกแบบมาให้ทำงานอย่างแนบเนียน สามารถตรวจสอบการใช้งาน GPU ของเจ้าของเครื่อง และหยุดขุดชั่วคราวเมื่อพบว่าผู้ใช้กำลังใช้งานคอมพิวเตอร์ เพื่อลดโอกาสถูกสังเกตเห็น
นอกจากนี้ Microsoft ยังพบว่าผู้โจมตีได้ใช้เทคนิคหลบเลี่ยงการตรวจจับหลายรูปแบบ ไม่ว่าจะเป็นการซ่อนตัวภายในโปรเซสของ Windows การปิดกั้นการวิเคราะห์ในเครื่องเสมือน รวมถึงการสร้างข้อยกเว้นใน Microsoft Defender สำหรับโปรแกรมขุดคริปโต
ข้อมูลจาก Microsoft ระบุว่าตั้งแต่เดือนมีนาคม 2026 เป็นต้นมา มีโดเมนอันตรายที่เกี่ยวข้องกับแคมเปญนี้มากกว่า 150 โดเมน และมีโครงสร้างพื้นฐานการโจมตีที่เชื่อมโยงกับเซิร์ฟเวอร์หลายแห่งทั่วโลก
เหตุการณ์ครั้งนี้สะท้อนให้เห็นว่าการค้นหาซอฟต์แวร์ผ่าน AI Chatbot ไม่ได้ปลอดภัยกว่าการค้นหาผ่าน Search Engine เสมอไป ผู้ใช้งานควรตรวจสอบชื่อโดเมน เว็บไซต์ และแหล่งดาวน์โหลดทุกครั้งก่อนติดตั้งโปรแกรม โดยเฉพาะโปรแกรมยอดนิยมที่มักตกเป็นเป้าหมายของผู้โจมตี
Microsoft แนะนำให้องค์กรเปิดใช้งานระบบป้องกันบนคลาวด์, SmartScreen, Network Protection และกฎ Attack Surface Reduction (ASR) เพื่อช่วยลดความเสี่ยงจากการโจมตีลักษณะนี้ รวมถึงให้ความรู้แก่พนักงานเกี่ยวกับอันตรายของลิงก์ที่ได้รับจากทั้ง Search Engine และ AI Chatbot