อย่างที่ผู้อ่านหลายท่านได้ทราบกันถึงการเข้ามาของวิธีการหลอกลวงติดตั้งมัลแวร์แบบใหม่ที่เรียกว่า FileFix หรือการหลอกให้รันโค้ดด้วยการวาง File Path แฝงโค้ดอันตรายบนบาร์ค้นหาของ File Explorer ซึ่งถ้าทำตามจะนำไปสู่การดาวน์โหลดติดตั้งมัลแวร์อย่างอัตโนมัติ โดยวิธีการนี้ได้กลับมาเป็นข่าวอีกครั้งร่วมกับมัลแวร์ชื่อดัง
จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบแคมเปญแพร่กระจายมัลแวร์ประเภทขโมยข้อมูลจากระบบ หรือ Infostealer ชื่อดังที่แฮกเกอร์นิยมใช้งานมาอย่างยาวนานอย่าง StealC ด้วยการใช้วิธีการใหม่ล่าสุดอย่าง FileFix โดยทีมวิจัยจาก Acronis บริษัทผู้เชี่ยวชาญด้านการพัฒนาโซลูชันด้านความปลอดภัยไซเบอร์ ซึ่งแคมเปญล่าสุดนี้ถึงแม้ทางทีมวิจัยจะไม่ได้ระบุชัดเจนว่าแฮกเกอร์ใช้การหลอกลวงจากช่องทางไหน แต่ก็ได้ระบุชัดเจนว่า แฮกเกอร์จะหลอกให้เหยื่อทำการเข้าหน้าเว็บไซต์ปลอมแบบหลากภาษา (Multi-Languages) เพื่อความเนียนของตัวเว็บไซต์ โดยเว็บไซต์นั้นจะเป็นการทำเลียนแบบเว็บไซต์ที่มีความน่าเชื่อถือ ซึ่งมีแม้กระทั่งหน้าเพจ Facebook Security ปลอมที่ทำเลียนแบบหน้าเพจสำหรับการจัดการด้านความปลอดภัยบน Facebook
ซึ่งหลังจากที่เหยื่อเข้าสู่หน้าเพจปลอมดังกล่าวแล้ว ก็จะปรากฏคำสั่งให้เหยื่อทำการวาง File Path ที่ถูกคัดลอกอย่างอัตโนมัติโดยสคริปท์ของหน้าเพจปลอมไว้บนแถบค้นหาของ File Explorer แล้วกด Open ซึ่งจะนำไปสู่การดาวน์โหลดรูปภาพที่มีการแฝงโค้ดมัลแวร์ไว้ภายในเพื่อนำมาถอดรหัส และประกอบเป็นมัลแวร์ StealC บนเครื่องของเหยื่อ ซึ่งจะเป็นการดาวน์โหลดมาจากคลังเก็บข้อมูลดิจิทัล (Repo หรือ Repository) ของทาง Bitbucket ซึ่งวิธีการดังกล่าวนั้นจะเป็นการตีรวนระบบการตรวจจับให้เกิดความสับสน (Obfuscation) รวมทั้งป้องกันการถูกวิเคราะห์ (Anti-Analysis) โดยระบบป้องกันได้อีกด้วย
ภาพจาก : https://thehackernews.com/2025/09/new-filefix-variant-delivers-stealc.html
ในส่วนของมัลแวร์นั้น หลังจากที่ตัวรูปภาพแฝงโค้ดดังกล่าวถูกดาวน์โหลดลงมาแล้ว และถูกเปิดขึ้น (เนื่องจากเหยื่อกด Open ในขั้นตอนดังกล่าว) จะนำไปสู่การถอดรหัสโค้ดในรูปภาพดังกล่าวออกมาเป็นมัลแวร์นกต่อ (Loader) ที่ถูกสร้างขึ้นด้วยภาษา Go ที่จะทำหน้าที่ในการรัน ShellCode เพื่อรันมัลแวร์ (Payload) ตัวหลักอย่าง StealC ขึ้นมาใช้งานบนเครื่องของเหยื่อ
สำหรับในส่วนของวิธีการแบบ FileFix นั้นเรียกได้ว่าเป็นวิธีการของแฮกเกอร์ที่ใหม่มาก เนื่องจากถูกตรวจพบในช่วงเดือนมิถุนายนที่ผ่านมานี้เอง โดยเป็นการพัฒนาอีกขั้นจากวิธีการแบบ ClickFix ซึ่งเป็นการใช้งาน Captcha ที่มีคำสั่งหลอกให้เหยื่อวางโค้ดบน Run (หรือ Terminal สำหรับผู้ใช้งานระบบปฏิบัติการ macOS) เพื่อรันโค้ดที่จะนำไปสู่การดาวน์โหลด, ติดตั้ง และรันมัลแวร์ บนเครื่องของเหยื่อ แต่วิธีการ FileFix นั้นแทนที่จะใช้งานโค้ดบน Run แต่จะเป็นการแอบแฝงโค้ดคำสั่ง (Command) ไว้ในด้านหน้าของส่วน File Path และลวงให้เหยื่อวาง File Path บนแถบค้นหาของ File Explorer แล้วกด Open ซึ่งจะนำไปสู่จุดหมายเดียวกันนั่นคือการฝังมัลแวร์ลงสู่เครื่อง แต่จะมีความเนียนกว่ารูปแบบก่อนที่ใช้การรันบนเครื่องมือ Run ที่ผู้ใช้งานทั่วไปมักไม่ได้ใช้งานกัน
|