แฮกเกอร์ส่งเอกสารภาษีปลอม อ้างสรรพากรในรูปแบบ PDF พร้อม QR เพื่อแจกจ่ายมัลแวร์

ช่วงต้นปีในไตรมาสแรกนั้นเรียกได้ว่าเป็นฤดูกาลแห่งการยื่นภาษี ที่ไม่เพียงแต่ในประเทศไทยเท่านั้นที่คนทำงานทุกคนต้องทำการยื่นกัน และแฮกเกอร์ก็ได้ใช้โอกาสนี้สำหรับการโจมตีครั้งใหม่ ในรูปแบบใหม่

จากรายงานโดยเว็บไซต์ The Hacker News ได้รายงานถึงการตรวจพบแคมเปญการโจมตีครั้งใหม่ของแฮกเกอร์โดยทางทีมวิจัยจากไมโครซอฟท์ โดยแคมเปญนี้เป็นการใช้วิธีการหลอกลวงเหยื่อ (Phishing) เพื่อให้ดาวน์โหลดมัลแวร์ประเภทเข้าควบคุมระบบจากทางไกล หรือ RAT (Remote Access Trojan) ที่มีชื่อว่า RemcosRAT และมัลแวร์อื่น ๆ อีกหลายสายพันธุ์ เช่น Latrodectus, AHKBot, GuLoader และ BruteRatel C4 (BRc4) เป็นต้น

โดยแคมเปญนี้จะมุ่งเน้นกลุ่มผู้ใช้งานในสหรัฐอเมริกาเป็นหลัก โดยแฮกเกอร์จะใช้เครื่องมือสำหรับการทำแคมเปญหลอกลวงแบบเช่าใช้ (Phishing-as-a-Service หรือ PaaS) ที่มีชื่อว่า RaccoonO365 ในการยิงอีเมลพร้อมไฟล์แนบที่อ้างว่าเป็นไฟล์สำคัญในกิจกรรมการยื่นภาษีโดยในไฟล์จะมีลิงก์ที่ถูกย่ออยู่ ซึ่งถ้าเหยื่อเผลอทำการเปิดลิงก์ขึ้นมา ลิงก์จะนำเหยื่อไปยังเพจปลายทางที่จะแตกต่างออกไปตามรายละเอียดของระบบและหมายเลข IP ของเหยื่อ รวมถึงเงื่อนไขอื่น ๆ ที่ทางแฮกเกอร์ระบุไว้ โดยถ้าทุกเงื่อนไขเป็นไปตามกำหนด และทางเหยื่อทำการอนุญาตมอบสิทธิ์ในการเข้าถึงตัวระบบ ทางเซิร์ฟเวอร์ของแฮกเกอร์จะทำการส่ง และรัน JavaScript บนเครื่องของเหยื่อเพื่อดาวน์โหลดไฟล์ติดตั้งในรูปแบบไฟล์ .msi (Microsoft Software Installer) เพื่อติดตั้งมัลแวร์ BruteRatel C4 (BRc4) โดยมัลแวร์ตัวดังกล่าวจะนำไปสู่การติดตั้งมัลแวร์ Latrodectus ในภายหลังอีกทีหนึ่ง แต่ถ้าคุณสมบัติของเหยื่อไม่ตรงตามที่ถูกตั้งไว้บน Filter ของแฮกเกอร์ จากการดาวน์โหลดมัลแวร์จะเปลี่ยนเป็นการดาวน์โหลดไฟล์ PDF จากโดเมน royalegroupnyc[.]com แทน

ภาพจาก : https://thehackernews.com/2025/04/microsoft-warns-of-tax-themed-email.html

นอกจากนั้นทางไมโครซอฟท์ยังตรวจพบอีกแคมเปญหนึ่งในช่วงเดือนกุมภาพันธ์ที่ผ่านมา โดยเป็นการส่งอีเมล Phishing ไปหาองค์กรเป้าหมายถึง 2,300 แห่ง ทั่วสหรัฐอเมริกา โดยจะเน้นไปยังองค์กรที่อยู่ในอุตสาหกรรมด้านวิศวกรรม, ไอที, และบริษัทด้านการให้คำปรึกษาต่าง ๆ ซึ่งในแคมเปญนี้จะเป็นอีเมลแจ้งเตือนเกี่ยวกับภาษีโดยอ้างตัวว่าส่งมาจากทางกรมสรรพากร โดย ตัวไฟล์ PDF ที่แนบไปนั้นจะไม่มีเนื้อหาใด ๆ นอกจาก QR Code ให้เหยื่อทำการสแกน ซึ่งเมื่อสแกนแล้ว ก็จะนำไปสู่หน้าล็อกอิน Microsoft 365 ปลอมที่ถูกสร้างขึ้นด้วยเครื่องมือ RaccoonO365 ซึ่งเมื่อป้อนลงไปแล้ว เหยื่อก็จะโดนขโมยข้อมูลจากบัญชี Microsoft 365 ในทันที

ไม่เพียงเท่านั้น ยังมีรายงานอีกว่า แฮกเกอร์ใช้แคมเปญเดียวกันในการแพร่กระจายมัลแวร์ AHKBot และ GuLoader อีกด้วย โดยแคมเปญกระจายมัลแวร์ AHKBot นั้นจะใช้ไฟล์ .xls ซึ่งเป็นไฟล์ Excel แทน โดยในไฟล์จะมีการลงลิงก์ที่จะนำพาไปสู่การดาวน์โหลดไฟล์ติดตั้งมัลแวร์ในรูปแบบไฟล์ .msi ซึ่งหลังจากติดตั้งเสร็จ จะนำไปสู่การรันสคริปท์ AutoHotKey เพื่อดาวน์โหลดโมดูลของมัลแวร์ที่มีชื่อว่า Screenshotter เพื่อทำการบันทึกหน้าจอของเหยื่อแล้วส่งกลับไปยังเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control)

และในอีกวิธีการหนึ่ง จะเป็นการใช้ไฟล์ PDF เพื่อแพร่กระจายมัลแวร์ GuLoader ผ่านทาง URL ภายในไฟล์ดังกล่าว โดยเมื่อกดจะนำไปสู่การดาวน์โหลดไฟล์บีบอัดสกุล .Zip ที่ภายในจะมีไฟล์ Internet Shortcut ในรูปแบบไฟล์ .Ink ที่อ้างตนว่าเป็นไฟล์ด้านภาษี  ซึ่งถ้าเหยื่อทำการกดเปิดขึ้นมาจะเป็นการรันสคริปท์ PowerShell เพื่อดาวน์โหลดไฟล์ PDF อีกตัวสำหรับการเบี่ยงเบนความสนใจ พร้อมกับไฟล์ .bat เพื่อรันติดตั้งมัลแวร์ GuLoader ลงสู่เครื่องเหยื่อ

นอกจากแคมเปญดังกล่าวแล้ว ทางทีมวิจัยยังพบว่า มีการใช้โฆษณาบน Facebook เพื่อหลอกให้กดลิงก์ดาวน์โหลด Windows 11 Pro แบบฟรี ที่แท้จริงแล้วเป็นการติดตั้งมัลแวร์ Latrodectus 1.9 ด้วยการใช้เครื่องมือที่มีชื่อว่า BruteRatel red-teaming tool อีกด้วย

จะเห็นได้ว่า การแพร่กระจายมัลแวร์โดยแฮกเกอร์นั้นมีวิธีการที่หลากรูปแบบมาก ผู้อ่านจะต้องมีการระมัดระวังในการคลิกลิงก์ และดาวน์โหลดไฟล์ต่าง ๆ ให้ดี เพื่อเลี่ยงการตกเป็นผู้ประสบภัยจากมัลแวร์