โปรดอัพเดตเบราว์เซอร์

เบราว์เซอร์ที่คุณใช้เป็นเวอร์ชันเก่าซึ่งไม่สามารถใช้บริการของเราได้ เราขอแนะนำให้อัพเดตเบราว์เซอร์เพื่อการใช้งานที่ดีที่สุด

ระวังภัย เว็บ Bitdefender ปลอม ถูกใช้เป็นฐานปล่อยมัลแวร์อันตรายถึง 3 ชนิด

Thaiware

อัพเดต 12 มิ.ย. 2568 เวลา 10.00 น. • เผยแพร่ 12 มิ.ย. 2568 เวลา 10.00 น. • Sarun_ss777
มัลแวร์ดังกล่าวคือ VenomRAT, StormKitty และ SilentTrinity ซึ่งสามารถขโมยข้อมูลได้หลากชนิดบนเครื่องของเหยื่อ

เมื่อกล่าวถึงมัลแวร์ สิ่งที่จะช่วยปกป้องระบบขององค์กร และคอมพิวเตอร์ของผู้ใช้งานคงจะหนีไม่พ้นโปรแกรมแนวแอนตี้ไวรัส และเครื่องมือด้านความปลอดภัยไซเบอร์ต่าง ๆ แต่แฮกเกอร์มักจะนำหน้าคนทั่วไปอยู่เสมอ และนั่นก็มักจะนำมาสู่ปัญหาในภายหลัง

จากรายงานโดยเว็บไซต์ Infosecurity Magazine ได้กล่าวถึงการตรวจพบเว็บไซต์ Bitdefender แอนตี้ไวรัสชื่อดัง ปลอมโดยทีมวิจัยจาก DomainTools บริษัทผู้เชี่ยวชาญด้านการพัฒนาเครื่องมือตรวจสอบภัยไซเบอร์ โดยทางทีมวิจัยได้ระบุว่า เว็บไซต์ดังกล่าวนั้นมีการปลอมแปลงหน้าตาให้เหมือนกับเว็บไซต์ของแท้มาก ซึ่งตัวหน้าเว็บไซต์จะมีปุ่ม DOWNLOAD FOR WINDOWS หลอกว่าถ้ากดปุ่มนี้จะเป็นการดาวน์โหลดซอฟต์แวร์ Bitdefender สำหรับใช้งานบน Windows แต่ที่โหลดได้ไปกลับเป็นมัลแวร์ประเภทเข้าถึงเครื่องของเหยื่อจากทางไกล หรือ RAT (Remote Access Trojan) ที่มีชื่อว่า VenomRAT และมัลแวร์แถมอีก 2 ตัวนั่นคือ StormKitty กับ SilentTrinity

โดยมัลแวร์แต่ละตัวนั้นจะทำหน้าที่แตกต่างกันออกไป อย่าง VenomRAT จะทำหน้าที่เป็นตัวปฏิบัติการหลักด้วยการสร้างช่องทางให้แฮกเกอร์สามารถเข้าถึงเครื่องเหยื่อจากระยะไกล (Remote) และสร้างความมั่นใจว่าตัวมัลแวร์จะรันบนระบบได้ตลอดเวลา (Persistence) รวมทั้งมีความสามารถในการดักจับการพิมพ์ของคีย์บอร์ด (Keylogging), ขโมยรหัสผ่านต่าง ๆ, และความสามารถในการรันโค้ดจากระยะไกล (RCE หรือ Remote Code Execution) ขณะที่ StormKitty นั้นจะทำหน้าที่ขโมยรหัสผ่านเช่นเดียวกันแต่เพิ่มความสามารถในการขโมยข้อมูลบนกระเป๋าเงินคริปโตเคอร์เรนซีขึ้นมาด้วย และ SilentTrinity จะช่วยในการจัดการด้านส่งออกไฟล์ และข้อมูลต่าง ๆ ที่ขโมยได้สำเร็จกลับไปยังแฮกเกอร์ และ ช่วยรับประกันว่าแฮกเกอร์จะสามารถควบคุมระบบของเหยื่อได้อย่างยาวนาน

จากการตรวจสอบของทีมวิจัยนั้นพบว่ามัลแวร์ทุกตัวในแคมเปญนี้นั้นมีการเชื่อมต่อไปยังเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) บนหมายเลขไอพี 67.217.228[.]160:4449 และ 157.20.182[.]72:4449 รวมไปถึงยังมีรูปแบบการปรับแต่งการทำงาน (Configuration) ที่เป็นไปในแนวทางเดียวกันอีกด้วย

นอกจากเว็บไซต์แอนตี้ไวรัสปลอมแล้ว ทีมวิจัยยังตรวจพบเว็บไซต์ปลอมที่มีความเกี่ยวข้องกับแคมเปญนี้แต่มีการปฏิบัติการที่แตกต่างกันออกไป โดยมุ่งเน้นในการใช้หน้าล็อกอินปลอมเพื่อขโมยชื่อบัญชี และรหัสผ่าน ซึ่งเว็บไซต์ที่ถูกตรวจพบนั้นมีดังนี้

  • Idram-secure[.]live เป็นเว็บไซต์ที่แอบอ้างชื่อ Armenian IDBank
  • Royalbanksecure[.]online, เป็นเว็บไซต์ที่ทำเลียนแบบธนาคาร Royal Bank of Canada
  • dataops-tracxn[.]com, เป็นเว็บไซต์ที่ปลอมแปลงหน้าล็อกอินของ Microsoft

➤ Website : https://www.thaiware.com
➤ Facebook : https://www.facebook.com/thaiware
➤ Twitter : https://www.twitter.com/thaiware
➤ YouTube : https://www.youtube.com/thaiwaretv

ดูข่าวต้นฉบับ
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...