แฮกเกอร์ปลอมหน้าเว็บ Claude Code แพร่มัลแวร์ ขโมยรหัสผ่าน

นักวิจัยด้านความปลอดภัยเปิดเผยแคมเปญโจมตีไซเบอร์รูปแบบใหม่ ที่อาศัยกระแสความนิยมของเครื่องมือ AI สำหรับนักพัฒนาอย่าง Claude Code มาใช้เป็นเหยื่อล่อผู้ใช้งาน ผ่านเว็บไซต์ปลอมที่ถูกดันขึ้นอันดับต้น ๆ ของผลการค้นหา Google

เป้าหมายหลักของการโจมตีครั้งนี้ คือการแพร่กระจาย .NET Infostealer หรือมัลแวร์ขโมยข้อมูลที่ทำงานอยู่ในหน่วยความจำโดยตรง และแทบไม่ทิ้งร่องรอยไว้ในระบบ

ผู้โจมตีใช้เทคนิค SEO Poisoning เพื่อทำให้เว็บปลอมปรากฏขึ้นเมื่อมีคนค้นหาคำว่า “Claude Code install” โดยหน้าเว็บถูกออกแบบให้เลียนแบบขั้นตอนติดตั้งจริงอย่างแนบเนียน โดยเฉพาะสำหรับผู้ใช้งานใหม่ที่ยังไม่คุ้นเคยกับกระบวนการติดตั้ง

อย่างไรก็ตาม นักวิจัยยืนยันว่า Anthropic ไม่ได้ถูกแฮกระบบ และช่องทางดาวน์โหลด Claude Code อย่างเป็นทางการยังปลอดภัย

สิ่งที่น่าสนใจคือ การโจมตีนี้ไม่ได้อาศัยช่องโหว่ของซอฟต์แวร์ แต่ใช้วิธี Social Engineering ผ่านเทคนิค ClickFix แทน โดยหน้าเว็บจะหลอกให้ผู้ใช้เปิดหน้าต่าง Run ของ Windows และรันคำสั่ง MSHTA ที่เตรียมไว้

เมื่อเหยื่อทำตาม มัลแวร์จะเริ่มทำงานทันที พร้อมเข้าสู่กระบวนการโจมตีหลายขั้นตอนที่ออกแบบมาเพื่อหลบการตรวจจับโดยเฉพาะ

ขั้นแรก ระบบจะดาวน์โหลดไฟล์ที่ดูเหมือน MP3 ปกติ แต่จริง ๆ แล้วเป็นไฟล์แบบ Polyglot ซึ่งสามารถทำงานได้ทั้งในรูปแบบไฟล์เสียงและสคริปต์ HTA ในไฟล์เดียวกัน

หากเปิดด้วยโปรแกรมเล่นเพลงทั่วไป ไฟล์จะดูเหมือนไม่มีอะไรผิดปกติ แต่เมื่อถูกเรียกผ่าน mshta.exe ระบบจะอ่านส่วนสคริปต์ที่ซ่อนอยู่และเริ่มประมวลผลทันที ทำให้สามารถหลบการตรวจสอบประเภทไฟล์และ Sandbox หลายระบบได้

จากนั้น HTA จะเรียกใช้ PowerShell หลายชั้น พร้อมสร้าง Scheduled Task เพื่อฝังตัวในเครื่อง และเลือกใช้งาน PowerShell แบบ 32-bit เพื่อหลบเลี่ยงระบบตรวจจับที่มักโฟกัสไปยังโปรเซส 64-bit

ภายในสคริปต์ยังมีการปิดระบบ AMSI ของ Windows ซึ่งเป็นกลไกตรวจจับมัลแวร์ในหน่วยความจำ รวมถึงใช้การเข้ารหัสหลายรูปแบบ เช่น Base64, RC4 และ XOR เพื่อซ่อนโค้ดจริงจากระบบวิเคราะห์

อีกหนึ่งเทคนิคสำคัญคือ การสร้าง “ลายนิ้วมือ” ของเครื่องเหยื่อจากชื่อคอมพิวเตอร์และชื่อผู้ใช้ ก่อนนำไปสร้าง Subdomain เฉพาะรายภายใต้โดเมน oakenfjrod[.]ru เพื่อให้แต่ละเหยื่อได้รับ Payload ที่แตกต่างกัน วิธีนี้ช่วยลดประสิทธิภาพของการตรวจจับแบบ IOC ที่อาศัย URL ซ้ำเดิมในการติดตามภัยคุกคาม

ในขั้นสุดท้าย มัลแวร์จะโหลด .NET Infostealer เข้าสู่หน่วยความจำโดยตรงผ่านเทคนิค Reflection ด้วยคำสั่ง .NET Assembly.Load

จุดอันตรายคือ มัลแวร์ทั้งหมดทำงานแบบ Fileless หรือ “ไร้ไฟล์” ไม่มีการเขียนไฟล์ลงดิสก์ ไม่มีการสร้างโปรเซสใหม่ และทำงานอยู่ภายใน PowerShell เดิมทั้งหมด ส่งผลให้ตรวจจับย้อนหลังได้ยากมาก

มัลแวร์ดังกล่าวสามารถเชื่อมต่อกลับไปยังเซิร์ฟเวอร์ควบคุมผ่าน HTTPS เพื่อส่งข้อมูลออกจากเครื่อง โดยพฤติกรรมที่ตรวจพบรวมถึงการเข้าถึง Credential Store ของเบราว์เซอร์ ซึ่งหมายความว่ารหัสผ่านและข้อมูลล็อกอินที่บันทึกไว้ในเครื่องอาจถูกขโมยได้

นักวิจัยระบุว่า ความน่ากลัวของแคมเปญนี้ไม่ได้อยู่ที่การใช้เทคนิคเจาะระบบใหม่ แต่คือการผสมผสานหลายเทคนิคเข้าด้วยกัน ทั้งการโจมตีแบบไร้ไฟล์ การใช้ไฟล์ Polyglot การปิด AMSI และการสร้างโครงสร้างพื้นฐานแยกสำหรับเหยื่อแต่ละราย เพื่อหลบเลี่ยงระบบป้องกันแทบทุกชั้น

ขณะนี้ Howler Cell ยังคงติดตามโดเมนและโครงสร้างพื้นฐานที่เกี่ยวข้องกับการโจมตี รวมถึง download.version-516[.]com และ oakenfjrod[.]ru ตลอดจนเซิร์ฟเวอร์ควบคุมที่ใช้สื่อสารกับมัลแวร์

นักวิจัยแนะนำให้องค์กรและผู้ดูแลระบบเฝ้าระวังการทำงานผิดปกติของ mshta.exe การใช้งาน PowerShell แบบ 32-bit ที่ผิดปกติ รวมถึงการเชื่อมต่อ DNS ไปยัง Subdomain ที่น่าสงสัย เพราะถือเป็นหนึ่งในสัญญาณที่ยังสามารถใช้ตรวจจับการโจมตีลักษณะนี้ได้

ที่มา