แฮกเกอร์แฝงตัวผ่าน WPS Office และ DeepSeek ลอบส่งมัลแวร์เจาะระบบ

นักวิจัยด้านความปลอดภัยจาก Elastic Security Labs เปิดเผยการโจมตีที่มีความซับซ้อนสูง โดยกลุ่มภัยคุกคามใช้เทคนิคหลอกลวงผ่านการปลอมแปลงซอฟต์แวร์ยอดนิยมอย่าง WPS Office และ DeepSeek Search เพื่อกระจายมัลแวร์แบบ Remote Access Trojan (RAT) ชื่อว่า Sainbox ซึ่งสามารถเข้าถึงระบบภายในและขโมยข้อมูล

โดยแฮกเกอร์ปลอมแปลงไฟล์ติดตั้งให้ดูเหมือนเป็นซอฟท์แวร์ทางการของ WPS Office และ DeepSeek โดยใช้ไอคอน โลโก้ และชื่อไฟล์ที่ดูเหมือนของจริง เมื่อผู้ใช้ติดตั้งจะมีการโหลดโค้ดอันตรายผ่านไฟล์ DLL ที่ฝังมากับโปรแกรม โดยสุดท้ายจะติดตั้งมัลแวร์ Sainbox RAT เพื่อเปิดทางให้แฮกเกอร์เข้าถึงเครื่องได้จากระยะไกล

Sainbox RAT มีความสามารถขั้นสูง เช่น เข้าถึงไฟล์ในเครื่อง ดักข้อมูลจาก Clipboard ส่งคำสั่งควบคุมจากเซิร์ฟเวอร์ C2 และตรวจจับสภาพแวดล้อมที่เป็น Sandbox หรือ VM เพื่อหลีกเลี่ยงการตรวจจับ

ผู้เชี่ยวชาญยังตั้งข้อสังเกตว่า Sainbox RAT มีโครงสร้างการทำงานคล้ายกับ Gh0st RAT ซึ่งเป็นมัลแวร์สัญชาติจีนที่ถูกใช้ในปฏิบัติการจารกรรมข้อมูลมาหลายปี จึงเป็นไปได้ว่ากลุ่มผู้อยู่เบื้องหลังอาจมีความเกี่ยวข้องกับกลุ่มแฮกเกอร์ระดับรัฐหรือกลุ่มที่มีความเชื่อมโยงกับปฏิบัติการข่าวกรอง

แม้จากการวิเคราะห์จะพบว่าเป้าหมายหลักของแคมเปญนี้คือ องค์กรในประเทศจีน โดยเฉพาะภาคการผลิตและธุรกิจที่เกี่ยวข้องกับภาครัฐ แต่สิ่งที่น่ากังวลคือ แฮกเกอร์เลือกใช้แบรนด์ที่มีผู้ใช้งานจำนวนมากอย่าง WPS Office ซึ่งมีฐานผู้ใช้ทั่วโลก รวมถึงในประเทศไทยด้วย

ผู้ใช้ทั่วไปของ WPS Office จึงไม่ควรวางใจ เพราะแม้จะยังไม่ตกเป็นเป้าหมายโดยตรง แต่การที่แฮกเกอร์สามารถใช้ชื่อแบรนด์ดังมาปลอมแปลงได้สำเร็จ ก็อาจนำไปสู่แคมเปญโจมตีแบบกว้างขึ้นในอนาคต เช่น ผ่านการแจกจ่ายไฟล์เอกสารปลอม, แอปเวอร์ชันเถื่อน, หรือเว็บไซต์ดาวน์โหลดปลอมที่ดูเหมือนของจริง

นอกจากนี้ WPS Office เคยตกเป็นเป้าหมายของการโจมตีทางไซเบอร์หลายครั้ง โดยเฉพาะในปี 2024 ที่กลุ่มแฮกเกอร์ APT-C-60 ใช้ช่องโหว่แบบ zero-day (CVE-2024-7262 และ CVE-2024-7263) โจมตีผ่านระบบจัดการโปรโตคอลของ WPS บน Windows เพื่อฝังมัลแวร์สอดแนมชื่อ “SpyGlace” ผู้ใช้งานเพียงเปิดไฟล์ MHTML ที่ดูเหมือนเอกสาร Excel ก็อาจถูกฝังโค้ดอันตรายได้ทันที

ในปี 2023 กลุ่มแฮ็กเกอร์ “Blackwood” ยังใช้เทคนิค Man-in-the-Middle ปลอมแปลงการอัปเดตเพื่อฝังมัลแวร์ NSPX30 โดยไม่ให้เหยื่อรู้ตัว

ก่อนหน้านั้นในปี 2022 ก็มีการเปิดเผยช่องโหว่ CVE-2022-24934 ซึ่งถูกใช้ฝัง backdoor ผ่านระบบอัปเดตในกลุ่มบริษัทพนันแถบเอเชีย เหตุการณ์เหล่านี้ตอกย้ำว่าซอฟต์แวร์สำนักงานที่ใช้งานกันทั่วไปอาจกลายเป็นจุดอ่อนด้านความมั่นคงทางไซเบอร์ได้โดยไม่รู้ตัวเช่นกัน

แนวทางการป้องกันตัวเองเบื้องต้น ผู้ใช้ควรดาวน์โหลดซอฟต์แวร์จากเว็บไซต์ทางการเท่านั้น (เช่น https://www.wps.com) ตรวจสอบชื่อไฟล์ ชื่อเว็บไซต์ และใบรับรองดิจิทัลก่อนติดตั้ง อัปเดตโปรแกรมให้ทันสมัยอยู่เสมอ และอย่าเปิดไฟล์แนบจากแหล่งที่ไม่น่าเชื่อถือ หรือที่มากับอีเมลที่ไม่รู้จัก

ที่มา