มัลแวร์ CastleLoader แพร่กระจายตัวเองด้วย ClickFix บนหน้า Cloudflare ปลอม ติดแล้วกว่า 400 ราย
วิธีการหลอกลวงเพื่อให้เหยื่อติดตั้งมัลแวร์ลงเครื่องแบบไม่รู้ตัวนั้นมีหลากหลายวิธี ซึ่งวิธีที่กำลังเป็นที่นิยมควบคู่กับการ Phishing แบบดั้งเดิมนั่นก็คือ ClickFix หรือการหลอกให้เหยื่อทำตามคำสั่งบนหน้าเพจปลอมโดยอ้างว่าถ้าทำเสร็จแล้วจะเป็นการแก้ปัญหา (Error) ที่ปรากฎบนหน้าจอ แต่แท้จริงเป็นการติดตั้งมัลแวร์ ซึ่งข่าวนี้ก็เป็นอีกกรณีหนึ่งที่วิธีการดังกล่าวได้กลายมาเป็นประเด็นอีกครั้ง
จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการระบาดของมัลแวร์นกต่อซึ่งใช้สำหรับการส่งผ่านมัลแวร์ตัวอื่น ๆ ลงสู่ระบบเป้าหมาย หรือ Loader ตัวใหม่ที่มีชื่อว่า CastleLoader ซึ่งมัลแวร์ดังกล่าวได้มีการเริ่มระบาดตั้งแต่ต้นปี ค.ศ. 2025 (พ.ศ. 2568) ซึ่งสามารถเข้าฝังตัวลงในระบบสำเร็จมากถึง 469 เครื่อง จากความพยายามกว่า 1,634 ครั้ง ตีเป็น % ความสำเร็จที่มากถึง 28.7% จากสถิติล่าสุดในเดือนพฤษภาคมที่ผ่านมา ซึ่งการโจมตีนั้นจะมุ่งเน้นไปยังกลุ่มผู้ที่ทำงานให้กับหน่วยงานรัฐบาลของประเทศสหรัฐอเมริกาเป็นหลัก สำหรับมัลแวร์นกต่อตัวดังกล่าวนั้นจะถูกใช้งานเพื่อฝังมัลแวร์หลากชนิดลงสู่ระบบของเหยื่อ เช่น StealC, RedLine, DeerStealer, NetSupport RAT, SectopRAT, และ HijackLoader เป็นต้น โดยแคมเปญนี้ถูกตรวจจับโดยทีมวิจัยจาก PolySwarm บริษัทผู้สร้างเครื่องมือสำหรับตรวจจับภัยไซเบอร์
โดยทีมวิจัยได้ทำการเปิดเผยวิธีการในการหลอกล่อเหยื่อเพื่อฝังตัวมัลแวร์ลงบนเครื่องของเหยื่อนั้น กลุ่มแฮกเกอร์ที่อยู่เบื้องหลังจะใช้วิธีการ 2 รูปแบบในการหลอกล่อเหยื่อ
วิธีการแรกจะเป็นการใช้วิธีการ ClickFix ซึ่งจะใช้การหลอกล่อให้เหยื่อเข้าเว็บไซต์ปลอมที่มีการปลอมทั้งโดเมน และหน้าเพจให้เหมือนกับแพลตฟอร์มที่มีความน่าเชื่อถือเช่น เว็บไซต์สำหรับอัปเดตเว็บเบราว์เซอร์, หน้าเพจ Google Meets, หรือแม้แต่เว็บไซต์รวม Libraries สำหรับใช้ในการพัฒนาซอฟต์แวร์ ซึ่งหลังจากเข้าสู่หน้าเพจดังกล่าวแล้ว จะเปลี่ยนเป็นหน้าเพจสำหรับการตรวจสอบผู้ใช้งานของ Cloudflare (ปลอม) ซึ่งจะมาในรูปแบบ Captcha ที่หลอกให้เหยื่อทำการคัดลอกสคริปท์แล้วทำการรันเพื่อดาวน์โหลด และรันเพื่อติดตั้งมัลแวร์ลงสู่เครื่อง
วิธีการอีกอย่างหนึ่ง จะเป็นการใช้หน้าเพจคลังฝากไฟล์ (Repositories) ของทาง GitHub ที่ถูกสร้างขึ้นโดยแอบอ้างว่าเป็นแหล่งดาวน์โหลดซอฟต์แวร์ของแท้ที่เป็นที่นิยมในตลาดอย่างเช่น SQL Server Management Studio (SSMS-lib) ซึ่งตัวติดตั้งจะมีการฝังมัลแวร์ที่ทำหน้าที่ในการติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) เพื่อดาวน์โหลดมัลแวร์ลงมาติดตั้ง
สำหรับในส่วนของรายละเอียดข้อมูลเชิงเทคนิคของมัลแวร์ CastleLoader นั้น ทางทีมวิจัยได้กล่าวว่า ตัวมัลแวร์จะใช้วิธีการฝังตัวบนระบบด้วยวิธีการอันซับซ้อนซึ่งเรียกว่า การติดตั้งแบบหลายขั้นตอน (Multi-Stage Infection) ผ่านการใช้งานสคริปท์อย่าง PowerShell และ AutoIT (สคริปท์สำหรับสั่งการให้เกิดการดำเนินงานในขั้นตอนต่าง ๆ อย่างอัตโนมัติ)
โดยหลังจากที่มัลแวร์ฝังลงสู่เครื่องของเหยื่อแล้ว สคริปท์ AutoIT ก็จะทำงานด้วยการโหลด Shellcode ในรูปแบบไฟล์ DLL ลงไปสู่หน่วยความจำของระบบโดยตรง ตามมาด้วยการ Hash รายชื่อของ DLL และ เรียกใช้งาน API Call เพื่อติดต่อกับเซิร์ฟเวอร์ C2 (โดยจะติดต่อเพียง 1 เซิร์ฟเวอร์ จาก 7 แห่งที่มีอยู่ ณ เวลาที่ทีมวิจัยได้ตรวจพบ)
ในส่วนของระบบควบคุมมัลแวร์นั้นจะเป็นการทำงานในรูปแบบ Web-Base ซึ่งจะเป็นการใช้งานผ่านทางเว็บเบราว์เซอร์ ซึ่งในส่วนของแผงควบคุมนั้นจะมีการแสดงผลรายละเอียดข้อมูลต่าง ๆ เกี่ยวกับระบบของเหยื่อ เช่น ข้อมูลระบบโดยละเอียด, หมายเลข IP, และหมายเลขระบุตัวตนแบบเฉพาะตน นอกจากนั้น ยังมีเครื่องมือสำหรับให้แฮกเกอร์ใช้งานมัลแวร์ในรูปแบบโมดูล (Module) มากมาย ไม่ว่าจะเป็น เครื่องมือจัดการ Payload, เครื่องมือจัดการวิธีการแพร่กระจายมัลแวร์ (Distribution Control), เครื่องในการช่วยจัดการการแพร่กระจายแบบระบุเขตพื้นที่แบบเฉพาะเจาะจง (Geographical Infection) และเครื่องมือสำหรับจัดการในการเข้ารหัส Docker Container เพื่อเพิ่มประสิทธิภาพในการหลบเลี่ยงการถูกตรวจจับโดยเครื่องมือรักษาความปลอดภัยไซเบอร์ต่าง ๆ
➤ Website : https://www.thaiware.com
➤ Facebook : https://www.facebook.com/thaiware
➤ Twitter : https://www.twitter.com/thaiware
➤ YouTube : https://www.youtube.com/thaiwaretv