แฮกเกอร์สร้างเว็บ Google Chrome ปลอมจำนวนมากเพื่อแพร่กระจายมัลแวร์ ValleyRAT ด้วยเทคนิค DLLHijacking

แฮกเกอร์มักจะมาพร้อมกับสารพัดเทคนิค และยุทธวิธีเพื่อปล่อยมัลแวร์ หรือ ล่อลวงให้เหยื่อดาวน์โหลดมัลแวร์ลงสู่เครื่อง ซึ่งหลายกลยุทธ์นั้นก็มีความซับซ้อนอย่างมาก

จากรายงานโดยเว็บไซต์ The Hacker News ได้รายงานถึงการตรวจพบการกลับมาระบาดอีกครั้งของมัลแวร์ Valley RAT ซึ่งเป็นมัลแวร์ประเภทเข้าควบคุมเครื่องเหยื่อจากทางไกล (Remote Access Trojan หรือ RAT) ที่เคยพบการระบาดมาแล้วในช่วง ค.ศ. 2023 (พ.ศ. 2565) ซึ่งการระบาดในครั้งนี้นมีกลุ่มแฮกเกอร์ Silver Fox เป็นผู้ก่อการแพร่กระจายมัลแวร์ตัวดังกล่าว โดยมุ่งเน้นโจมตีกลุ่มบริษัทที่ใช้ภาษาจีน โดยเฉพาะในโซนฮ่องกง ไต้หวัน และ จีนแผ่นดินใหญ่ ซึ่งแฮกเกอร์เพ่งเล็งแผนกสำคัญอย่าง แผนกการเงิน, แผนกบัญชี และแผนกขาย เป็นหลัก ซึ่งการโจมตีใครครั้งนั้น แฮกเกอร์ก็ไม่ได้ใช้มัลแวร์ตัวนี้แค่ตัวเดียว แต่มีการนำเอาตัวอื่นเช่น Purple Fox และ Gh0st RAT มาใช้งานร่วมด้วย

สำหรับการระบาดในครั้งนี้นั้น กลุ่มแฮกเกอร์ก็ได้มีการนำเอาวิธีอย่างการสร้างเว็บไซต์ปลอมมาใช้ ซึ่งในรอบนี้จะเป็นการสร้างเว็บไซต์ Google Chrome ปลอมที่มีการตกแต่งคล้ายกับเว็บไซต์อย่างเป็นทางการชนิดที่แยกกันไม่ออก โดยตัวเว็บไซต์จากหลอกให้เหยื่อนั้นทำการดาวน์โหลดไฟล์บีบอัดนามสกุล .Zip ที่มีการสอดไส้ไฟล์ติดตั้งมัลแวร์ชื่อว่า "Setup.exe" เอาไว้ 

ภาพจาก : https://thehackernews.com/2025/02/fake-google-chrome-sites-distribute.html

ซึ่งการเผยแพร่เว็บไซต์ปลอมดังกล่าวนั้น ทางทีมวิจัยจาก Morphisec ผู้ตรวจพบการแพร่ระบาดรอบล่าสุด ก็ได้ออกมาให้ความเห็นว่า น่าจะเป็นการล่อให้ผู้ที่ใช้ Search Engine ที่ทำการค้นหาตัวซอฟต์แวร์ Google Chrome เข้ามาดาวน์โหลด เนื่องจากหลงเชื่อว่าเว็บไซต์ปลอมเป็นเว็บไซต์จริง นอกจากนั้นแล้วทางทีมงานยังให้ความเห็นว่า การโจมตีครั้งล่าสุดน่าจะเป็นการมุ่งเน้นการโจมตีไปยังกลุ่มเหยื่อที่ใช้งานภาษาจีน หรือ ชาวจีน เป็นหลัก อันเนื่องมาจากคุณลักษณะหลายอย่างที่สามารถสังเกตได้ ไม่ว่าจะเป็นการใช้ภาษาจีนบนเว็บไซต์ปลอม รวมไปถึงองค์ประกอบอื่น ๆ อย่างเช่น ไฟล์ที่ตัวมัลแวร์ใช้งานเอง

โดยตัวอย่างเช่น หลังจากที่เหยื่อได้ดาวน์โหลดไฟล์ Google Chrome ปลอมลงมาติดตั้ง และตัวมัลแวร์นกต่อ (Loader) ตัวดังกล่าวได้ทำการตรวจสอบว่าเหยื่อมีสิทธิ์ในการใช้งานระดับผู้ดูแลระบบ (Administrator) แล้วหรือไม่ ก็จะนำไปสู่การดาวน์โหลดไฟล์ลงมาเพิ่มเติม อย่างเช่น "Douyin.exe" ซึ่งเป็นไฟล์ติดตั้งแอปพลิเคชัน Social Media ที่เรียกได้ว่าเป็น TikTok ในเวอร์ชันจีน ลงมา อันเป็นการแสดงให้เห็นอย่างชัดเจนว่า ตัวมัลแวร์ยังพุ่งเป้าไปยังกลุ่มชาวจีนอยู่ โดยมัลแวร์จะใช้การรันไฟล์ดังกล่าวเพื่อดาวน์โหลดไฟล์ .DLL สำหรับใช้ในการรันมัลแวร์ Valley RAT ที่มีชื่อว่า "tier0.dll" ลงมา ไม่เพียงเท่านั้น ตัวมัลแวร์ยังมาการดาวน์โหลดไฟล์ .DLL ตัวเสริมอย่าง "sscronet.dll" ลงมาด้วย เพื่อช่วยในการลบ Process ต่าง ๆ ที่อยู่บนบัญชียกเว้น (Exclusion List) นอกจากนั้นแล้ว ตัวมัลแวร์ยังใช้ไฟล์สำหรับการรัน (Execution File) ที่ระบุไว้ข้างต้น เพื่อใช้ในการทำเทคนิคช่วงชิงลำดับการค้นหาไฟล์ DLL หรือ DLL Search Order Hijacking อีกด้วย

ทางทีมวิจัยยังได้เปิดเผยข้อมูลเพิ่มเติมอีกว่า ตัวมัลแวร์ดังกล่าวนั้นถูกเขียนขึ้นบนภาษา C++ รวมทั้งมีการค้นพบการใช้ภาษาจีนบนตัวโค้ดของมัลแวร์ดังกล่าว ช่วยเสริมความหนักแน่นของการคาดการณ์ว่าตัวมัลแวร์นั้นมุ่งเน้นเล่นงานชาวจีน นอกจากนั้นแล้วยังได้เปิดเผยข้อมูลส่วนของความสามารถของมัลแวร์ตัวดังกล่าวอีกว่า ตัวมัลแวร์ Valley RAT นั้นมีความสามารถในการตรวจจับการพิมพ์ของเหยื่อ (Keylogging), แอบบันทึกหน้าจอ, ดาวน์โหลดไฟล์ DLL และ ไฟล์ติดตั้งมัลแวร์อื่น ๆ ลงมาเพื่อติดตั้งบนเครื่องเหยื่อจากเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ทั้งยังมีความสามารถในการรับคำสั่งเพิ่มเติมอื่น ๆ จากเซิร์ฟเวอร์ดังกล่าว และมีความสามารถในการคงตัวบนระบบของเหยื่อ (Persistence) อีกด้วย