อาชญากรไซเบอร์หันมาใช้เทคนิคการหลีกเลี่ยงแบบใหม่อย่างรวดเร็ว หลังจากการปราบปรามไฟล์แนบอีเมลที่เป็นอันตรายของ Microsoft เมื่อเร็วๆ นี้ เพียงไม่กี่สัปดาห์หลังจากที่ Outlook เริ่มบล็อกไฟล์ Scalable Vector Graphics (SVG) แบบอินไลน์ ผู้โจมตีกำลังซ่อนมัลแวร์ไว้ในข้อมูลพิกเซลของภาพ Portable Network Graphics (PNG) ซึ่งเป็นวิธีการที่เรียกว่าการอำพราง
นักวิจัยด้านความปลอดภัยที่ Huntress ระบุว่าการเปลี่ยนแปลงนี้เป็นส่วนหนึ่งของแคมเปญ”ClickFix”ในวงกว้าง ซึ่งใช้วิศวกรรมสังคมเพื่อหลีกเลี่ยงการป้องกันเบราว์เซอร์ ด้วยการฝังโค้ดที่เข้ารหัสไว้ภายในช่องสีเฉพาะของภาพที่ดูเหมือนไม่เป็นอันตราย ผู้คุกคามสามารถหลบเลี่ยงเครื่องมือตรวจจับมาตรฐานที่สแกนหาภัยคุกคามตามสคริปต์
แม้จะมี”Operation Endgame”แต่การดำเนินการบังคับใช้กฎหมายที่มีการประสานงานซึ่งกำหนดเป้าหมายไปที่โครงสร้างพื้นฐานของบอตเน็ตเมื่อต้นเดือนนี้ แคมเปญยังคงมีการใช้งานสูง โดเมนที่ใช้งานอยู่ซึ่งโฮสต์เหยื่อล่อที่ใช้ PNG ใหม่ยังคงแจกจ่ายข้อมูล Rhadamanthys infostealer ซึ่งบ่งบอกถึงความยืดหยุ่นของกลุ่มต่อความพยายามในการลบออก
จากสคริปต์สู่ Pixels: The Steganography Shift
ผู้โจมตีกำลังละทิ้งหรือเสริมสคริปต์ SVG ที่ใช้ XML เพื่อสนับสนุน PNG ที่ใช้พิกเซลเป็นหลัก การเปลี่ยนแปลงทางยุทธวิธีนี้เกี่ยวข้องโดยตรงกับการตัดสินใจของ Microsoft เมื่อเดือนตุลาคมที่จะบล็อกรูปภาพ SVG แบบอินไลน์ใน Outlook เพื่อต่อสู้กับฟิชชิ่ง
ต่างจาก SVG ที่ใช้สคริปต์แบบข้อความซึ่งตัวกรองทำเครื่องหมายได้ง่าย วิธีการใหม่นี้จะซ่อนโค้ดที่เป็นอันตรายไว้ในข้อมูลภาพของรูปภาพนั้นเอง
ตัวโหลดใช้อัลกอริทึมที่กำหนดเอง โดยนำโครงสร้างข้อมูลรูปภาพมาตรฐานมาใช้ใหม่เพื่อปกปิดเพย์โหลด Ben Folland และ Anna Pham นักวิจัยจาก Huntress อธิบาย อธิบายถึงกลไกของระบบการนำส่งเพย์โหลดใหม่ว่า”โค้ดที่เป็นอันตรายได้รับการเข้ารหัสโดยตรงภายในข้อมูลพิกเซลของรูปภาพ PNG โดยอาศัยช่องสีเฉพาะเพื่อสร้างและถอดรหัสเพย์โหลด”
เมื่อแยกออกมาแล้ว เพย์โหลดจะถูกถอดรหัสในหน่วยความจำ โดยข้ามกลไกการตรวจจับบนดิสก์ เส้นทางการดำเนินการเฉพาะหน่วยความจำดังกล่าวมีประสิทธิภาพโดยเฉพาะอย่างยิ่งกับระบบ Endpoint Detection and Response (EDR) ซึ่งตรวจสอบการเขียนไฟล์ลงดิสก์เป็นหลัก
ด้วยการคงรหัสที่เป็นอันตรายไว้ชั่วคราวและผันผวน ผู้โจมตีจะลดหน้าต่างสำหรับการจับภาพทางนิติวิทยาศาสตร์ลงอย่างมาก นักวิจัยของ Huntress เน้นย้ำถึงความท้าทายทางนิติวิทยาศาสตร์ที่เกิดจากเทคนิคนี้ว่า “การค้นพบที่โดดเด่นในระหว่างการวิเคราะห์คือการใช้อัตลักษณ์ของแคมเปญเพื่อปกปิดขั้นตอนสุดท้ายของมัลแวร์ภายในรูปภาพ”
สุดท้ายแล้ว แอสเซมบลี.NET จะถูกโหลดแบบสะท้อนแสงเพื่อแทรกเพย์โหลดลงใน `explorer.exe`
กับดัก’ClickFix’: ทำให้ความน่าเชื่อถือของผู้ใช้กลายเป็นอาวุธ
การใช้ประโยชน์จาก เทคนิคที่เรียกว่า”ClickFix”การโจมตีเลียนแบบข้อผิดพลาด Windows หรือหน้าจออัปเดตที่ถูกต้องตามกฎหมาย เหยื่อจะถูกนำเสนอด้วยอินเทอร์เฟซ “Windows Update” ปลอมที่ดูเหมือนว่าจะหยุดทำงานหรือล้มเหลว เพื่อ “แก้ไข” ปัญหา ผู้ใช้จะได้รับคำสั่งให้เปิดกล่องโต้ตอบ Windows Run (Win+R) และวางคำสั่ง
เทคนิคนี้ใช้ประโยชน์จากช่องโหว่ที่ใช้เทคโนโลยีต่ำในพฤติกรรมของผู้ใช้ โดยผ่านการหลีกเลี่ยงช่องโหว่ทางเทคนิคโดยสิ้นเชิง นักวิจัยของ Huntress เน้นย้ำถึงความเรียบง่ายของแนวทางนี้โดยเน้นย้ำถึงอุปสรรคต่ำในการเข้าสู่ช่องโหว่นี้
จาวาสคริปต์ที่ฝังอยู่ในหน้าล่อจะเติมคำสั่งที่เป็นอันตรายลงในคลิปบอร์ดโดยอัตโนมัติ กลยุทธ์ดังกล่าวหลีกเลี่ยงการควบคุมความปลอดภัยของเบราว์เซอร์ เช่น SmartScreen ซึ่งโดยทั่วไปจะทำเครื่องหมายการดาวน์โหลดที่เป็นอันตรายแต่ไม่ใช่การดำเนินการคำสั่งด้วยตนเอง
เพื่อลดเวกเตอร์เฉพาะนี้ ผู้ดูแลระบบสามารถปิดใช้งานกล่อง Run ผ่านทางการปรับเปลี่ยนรีจิสทรี โดยใช้คำสั่งต่อไปนี้:
reg add”HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”/v NoRun/t REG_DWORD/d 1/f
การพึ่งพาการป้อนข้อมูลของผู้ใช้ด้วยตนเองถือเป็นการใช้ประโยชน์แบบ”เน้นมนุษย์เป็นศูนย์กลาง”แทนที่จะเป็นช่องโหว่ทางเทคนิคใน Windows
รายละเอียดทางเทคนิค: ภายใน Loader
การเริ่มต้นการติดไวรัส คำสั่ง `mshta.exe` ดำเนินการผ่านกล่อง Run คำสั่งนี้จะดึงไฟล์ HTA ระยะไกล ซึ่งจะเรียกใช้งานสคริปต์ PowerShell เมื่อดำเนินการ สคริปต์จะถอดรหัสและโหลดแอสเซมบลี.NET ลงในหน่วยความจำโดยตรง การวิเคราะห์ทางเทคนิคของ Huntress ให้รายละเอียดเกี่ยวกับกระบวนการโหลดในภายหลัง:
“แอสเซมบลี.NET ขั้นที่ 3 ทำหน้าที่เป็นตัวโหลดสำหรับสเตจที่ 4 ซึ่งจัดเก็บเป็นเชลล์โค้ดโดยใช้การซ่อนเร้นภายในไฟล์ PNG ที่เข้ารหัสที่ฝังไว้”
“โค้ด C# ที่อำนวยความสะดวกในการแทรกโค้ดเชลล์จะถูกจัดเก็บด้วยการเข้ารหัสภายในแอสเซมบลี.NET เอง และถูกคอมไพล์เป็นแอสเซมบลี.NET อื่น ซึ่งจะถูกโหลดแบบสะท้อนแสงที่รันไทม์”
Donut ซึ่งเป็นเครื่องมือสร้างโค้ดเชลล์ ดำเนินการเพย์โหลดสุดท้าย (Rhadamanthys หรือ LummaC2)
การวิเคราะห์เผยให้เห็นการใช้โค้ด”แทรมโพลีน”พร้อมด้วยการเรียกใช้ฟังก์ชันว่างนับพันรายการ เพื่อขัดขวางความพยายามในการทำวิศวกรรมย้อนกลับ การโหลดแบบสะท้อนช่วยให้มั่นใจได้ว่ามัลแวร์จะทำงานเกือบทั้งหมดในหน่วยความจำ โดยทิ้งร่องรอยทางนิติวิทยาศาสตร์ไว้บนดิสก์น้อยที่สุด
ความยืดหยุ่นในการต่อต้าน”Operation Endgame”
แม้จะมีการถอด Operation Endgame ที่มีชื่อเสียงโด่งดังในช่วงกลางเดือนพฤศจิกายน แต่แคมเปญนี้ ยังคงใช้งานอยู่ นักวิจัยของ Huntress ยืนยันว่าหลายโดเมนที่โฮสต์โปรแกรม Windows Update Lure ยังคงใช้งานได้
แม้จะมีการลบออกพร้อมกัน แต่ผู้แสดงภัยคุกคามก็ยังคงรักษาจุดยืนที่ใช้งานได้ เพื่อยืนยันความอยู่รอดของโครงสร้างพื้นฐาน Ben Folland และ Anna Pham สังเกตว่า”ณ วันที่ 19 พฤศจิกายน โดเมนที่ใช้งานอยู่หลายโดเมน… ยังคงโฮสต์หน้า Windows Update Lure ที่เชื่อมโยงกับแคมเปญ Rhadamanthys”
ข้อมูล ESET ล่าสุด บ่งชี้ว่ามีการเพิ่มขึ้น 500% ในการโจมตี ClickFix ในไตรมาสที่ 4 ปี 2568 บ่งชี้ว่ากลยุทธ์นี้กำลังได้รับความนิยมในหมู่อาชญากรไซเบอร์ การกระจายอำนาจช่วยให้โครงสร้างพื้นฐานของบอตเน็ตสามารถต้านทานความพยายามในการลบข้อมูลแบบรวมศูนย์ได้
ความคงอยู่ดังกล่าวแสดงให้เห็นถึงข้อจำกัดของการดำเนินการบังคับใช้กฎหมายต่อเครือข่ายมัลแวร์แบบกระจายสมัยใหม่ การเปลี่ยนทิศทางอย่างรวดเร็ว ตั้งแต่ SVG ไปจนถึง PNG และจากเซิร์ฟเวอร์ C2 หนึ่งไปยังอีกเซิร์ฟเวอร์หนึ่ง แสดงให้เห็นถึงความคล่องตัวในการปฏิบัติงานในระดับสูง
