HP เตือนผู้ใช้งานให้ระวังการแพร่ระบาดของอัปเดตปลอม ถ้าไม่ระวังอาจติดมัลแวร์ได้

จากรายงานโดยเว็บไซต์ Security Brief Asia ได้มีการอ้างอิงถึงรายงานวิจัยด้านความปลอดภัยไซเบอร์ Threat Insights Report ของทางบริษัท HP ผู้ผลิตเครื่องคอมพิวเตอร์และอุปกรณ์ไอทีชื่อดัง โดยรายงานฉบับนี้เกิดจากการเก็บข้อมูลของอุปกรณ์ปลายทาง (Endpoints) ที่ใช้ผลิตภัณฑ์ด้านความปลอดภัยของบริษัทอย่าง HP Wolf Security ซึ่งจำนวนนับล้านเครื่อง โดยข้อมูลที่เก็บได้นี้มีความน่าสนใจเกี่ยวกับแคมเปญที่แฮกเกอร์มักใช้งานเพื่อปล่อยมัลแวร์ลงเครื่องของลูกค้า ดังนี้

การใช้การข่มขู่ทางกฎหมายแบบหลอก ๆ

จากรายงานนั้นมีการตรวจพบว่าแฮกเกอร์ได้มีการใช้การหลอกลวงเหยื่อว่า ติดต่อมาจากหน่วยงานรัฐซึ่งมักจะเป็นหน่วยงานด้านการบังคับใช้กฎหมาย โดยข่มขู่ว่าถ้าเหยื่อไม่ทำตามก็จะนำไปสู่การฟ้องร้อง ซึ่งแฮกเกอร์จะหลอกให้เหยื่อเข้าเว็บไซต์หน่วยงาน (ปลอม) ที่ถูกสร้างขึ้นมาเพื่อหลอกลวงเหยื่อโดยเฉพาะ โดยหลังจากที่เหยื่อเข้าสู่เว็บไซต์ดังกล่าว ตัวเว็บไซต์จะทำการเลื่อนอัตโนมัติ (Auto-Scrolling) เพื่อค่อย ๆ ล่อเหยื่อไปยังรหัสผ่านที่คล้ายกับรหัสใช้งานครั้งเดียว (OTP หรือ One-Time Password) เพื่อใช้ในการเปิดไฟล์บีบอัดในรูปแบบ Zip ที่หลอกให้เหยื่อดาวน์โหลดไปก่อนหน้า

หลังจากที่เหยื่อใส่รหัสเพื่อเปิดไฟล์ดังกล่าวออกมา ก็จะนำไปสู่การติดตั้งมัลแวร์ในรูปแบบ Remote Access Trojan หรือ RAT ที่มีชื่อว่า PureRAT ซึ่งเป็นมัลแวร์ประเภทเข้าควบคุมเครื่องจากระยะไกลที่ถูกวางขายอยู่ในตลาดมืดของแฮกเกอร์ ช่วยเปิดทางให้แฮกเกอร์สามารถเข้าควบคุมเครื่องของเหยื่อได้อย่างสมบูรณ์ โดยมัลแวร์ตัวนี้มีความร้ายกาจมาก เพราะ แค่ 4% ของไฟล์ที่เกี่ยวข้องกับมัลแวร์ตัวนี้เท่านั้นที่สามารถถูกตรวจพบได้โดยเครื่องมือต่อต้านมัลแวร์

อัปเดตปลอมของซอฟต์แวร์ Adobe

ส่วนนี้มีความน่าสนใจที่สุดจนกลายเป็นหัวข้อของข่าวนี้ เนื่องจากตัวรายงานได้มีการเปิดเผยว่าแฮกเกอร์ได้มีการใช้งานไฟล์เอกสารแบบ PDF ปลอมที่มีการสอดไส้โค้ดในการพาเหยื่อไปยังเว็บไซต์ปลอมที่อ้างว่าเป็นเว็บไซต์สำหรับการอัปเดตซอฟต์แวร์ Adobe Acrobat ซึ่งเป็นซอฟต์แวร์สำหรับการอ่านไฟล์ PDF ของทาง Adobe

โดยหน้าจอการติดตั้งนั้นจะเหมือนกับตัวอัปเดตของแท้ไม่มีผิดเพี้ยน แต่ถ้าเหยื่อทำตามขั้นตอนก็จะนำไปสู่การดาวน์โหลดซอฟต์แวร์ที่ใช้ในการเข้าถึงเครื่องของผู้อื่นที่มีชื่อว่า ScreenConnect ซึ่งเป็นซอฟต์แวร์ประเภท Remote Desktop สำหรับทีมไอทีในการเข้าแก้ไขเครื่องของผู้ใช้งานตามองค์กร แต่กลับถูกนำมาดัดแปลงเพื่อให้ติดต่อกลับไปยังเซิร์ฟเวอร์ของแฮกเกอร์เปิดทางให้เข้ามาควบคุมเครื่องของเหยื่อแทน จนสามารถนับเป็นมัลแวร์ในรูปแบบ RAT ตัวหนึ่งได้

การโฮสต์มัลแวร์ไว้ผลบริการแชท Discord

สิ่งที่น่าสนใจคือ รายงานยังได้กล่าวถึงความนิยมของแฮกเกอร์ในการนำเอาบริการแชท Discord มาใช้เป็นโครงสร้างพื้นฐาน (Infrastructure) ในการโฮสต์ไฟล์มัลแวร์ (Payload) กันมากขึ้นเนื่องมาจากความน่าเชื่อถือของตัวแพลตฟอร์ม และความประหยัดที่ไม่ต้องมาสร้างโครงสร้างพื้นฐานเองให้เปลืองค่าใช้จ่าย

ซึ่งหนึ่งในแคมเปญที่มีการใช้ช่องทางนี้อย่างเห็นได้ชัด นั่นคือแคมเปญการปล่อยมัลแวร์ Phantom Stealer ซึ่งเป็นมัลแวร์ประเภทขโมยข้อมูลจากเครื่องของเหยื่อ หรือ Infostealer ตัวหนึ่งที่มีความสามารถในการปิดการใช้งาน Windows 11 Memory Integrity หรือฟีเจอร์รักษาความปลอดภัยในส่วนหน่วยความจำของ Windows 11 ก่อนที่จะฝังตัวลงบนเครื่องของเหยื่อ ซึ่งมัลแวร์ตัวนี้มีความสามารถในการขโมยข้อมูลหลากหลายรูปแบบ เช่น รหัสผ่านต่าง ๆ, ข้อมูลทางการเงิน, ไฟล์ Cookies ของเว็บเบราว์เซอร์ เป็นต้น โดยมัลแวร์ตัวนี้มีการขายอยู่ในตลาดมืดของเหล่าแฮกเกอร์ ซึ่งมีจุดเด่นคือ มีการอัปเดตความสามารถในการหลบเลี่ยงการถูกตรวจจับโดยเครื่องมือต่อต้านมัลแวร์ตัวใหม่ ๆ อย่างสม่ำเสมอ

การเติบโตของมัลแวร์ประเภทขโมยข้อมูล หรือ Infostealer

รายงานยังพบอีกว่ามัลแวร์ประเภท Infostealer นั้นมีการเติบโตอย่างมากในช่วงไตรมาสที่ 3 ของปี ค.ศ. 2025 (พ.ศ. 2568) ซึ่งจากมัลแวร์ทั้งหมดพบว่ากว่า 57% นั้นเป็นมัลแวร์ประเภทนี้ โดยตัวมัลแวร์นั้นจะมุ่งเน้นไปยังการขโมยรหัสผ่าน, ไฟล์ Cookies, และข้อมูลทางการเงินต่าง ๆ

นอกจากนั้นยังพบสิ่งที่น่าสนใจคือ การเติบโตของมัลแวร์ที่มุ่งเน้นการขโมย Session Cookies เพื่อการเข้าใช้งานบริการและเว็บไซต์ต่าง ๆ โดยที่ไม่ต้องล็อกอิน แทนที่การขโมยรหัสผ่าน หรือรหัสยืนยันตัวตนหลายชั้น (MFA หรือ Multi-Factors Authentication)

การแนบไฟล์มัลแวร์ผ่านทางอีเมลยังคงถูกใช้งานอยู่

ถึงแม้จะเป็นวิธีการแพร่กระจายมัลแวร์ที่เก่าแก่ แต่ก็ยังคงถูกใช้งานอยู่ในปัจจุบันแม้จะน้อยลงไปมาก ซึ่งทาง HP ได้รายงานว่ามัลแวร์ที่ถูกส่งทางอีเมลนั้นมีเพียง 11% ที่ถูกตรวจจับโดยเครื่องมือ Sure Click ว่าสามารถหลุดตัวกลั่นกรองอีเมลเข้ามาได้ ซึ่งไฟล์ที่มักถูกใช้งานเพื่อส่งผ่านอีเมลนั้นมีดังนี้

• ไฟล์แบบบีบอัด ยังคงเป็นที่นิยมอย่างมาก โดยในช่องไตรมาสล่าสุดของปีที่ผ่านมานั้นมีมากถึง 45% ซึ่งมากกว่าไตรมาสก่อนถึง 5% นอกจากนั้นยังพบว่าแฮกเกอร์ได้ทำให้วิธีการนี้มีความซับซ้อนมากยิ่งขึ้นด้วยการใช้ไฟล์บีบอัดแบบสกุล .tar และ .z แทนที่จะเป็น .Zip และ .Rar แบบที่คุ้นเคยกัน
• ขณะที่ไฟล์แบบ PDF ถึงแม้จะมีการใช้งานที่น้อยกว่า แต่ก็เริ่มเป็นที่นิยมใช้งานกันมากขึ้นกว่าเดิม โดยในช่วงไตรมาสที่ 3 ของปี ค.ศ. 2025 (พ.ศ. 2568) เครื่องมือ HP Wolf Security สามารถตรวจและสกัดจับไฟล์ดังกล่าวได้มากถึง 11% โดยมากกว่าไตรมาสก่อนหน้า 3%