NCSA Webboard
    • ล่าสุด
    • แท็ก
    • ฮิต
      • ติดต่อสำนักงาน
    • ลงทะเบียน
    • เข้าสู่ระบบ

    แคมเปญ ClickFix ถูกใช้โจมตี แบบ Social Engineerin

    Cyber Security News
    1
    1
    58
    โหลดโพสเพิ่มเติม
    • เก่าสุดไปยังใหม่สุด
    • ใหม่สุดไปยังเก่าสุด
    • Most Votes
    ตอบ
    • ตอบโดยตั้งกระทู้ใหม่
    เข้าสู่ระบบเพื่อตอบกลับ
    Topic นี้ถูกลบไปแล้ว เฉพาะผู้ใช้งานที่มีสิทธิ์ในการจัดการ Topic เท่านั้นที่จะมีสิทธิ์ในการเข้าชม
    • NCSA_THAICERTN
      NCSA_THAICERT
      แก้ไขล่าสุดโดย NCSA_THAICERT

      เมื่อวันที่ 10 กรกฎาคม 2568 Cyber Security Agency of Singapore (CSA) รายงานว่ามีผู้ไม่ประสงค์ดีใช้เทคนิคการหลอกลวงทางสังคม (Social Engineering) ที่เรียกว่า ClickFix เพื่อหลอกลวงให้ผู้ที่อาจตกเป็นเหยื่อรันคำสั่งที่เป็นอันตราย
      ตามรายงาน ผู้ไม่ประสงค์ดีใช้เทคนิค ClickFix เพื่อหลอกลวงให้ผู้ที่อาจตกเป็นเหยื่อรันคำสั่งที่เป็นอันตราย โดยอ้างว่าเป็นการ “แก้ไขด่วน” สำหรับปัญหาคอมพิวเตอร์ทั่วไป เทคนิคนี้มุ่งเป้าไปที่องค์กรในหลากหลายภาคส่วน รวมถึง อุตสาหกรรมเทคโนโลยี, การเงิน, การผลิต, การค้าส่งและค้าปลีก, หน่วยงานภาครัฐ, บริการวิชาชีพและกฎหมาย, สาธารณูปโภค และพลังงาน
      ClickFix คืออะไร
      ClickFix เป็นเทคนิคการหลอกลวงทางสังคมรูปแบบใหม่ที่ผู้ไม่ประสงค์ดีใช้มากขึ้น โดยหลอกให้ผู้ใช้ที่ถูกกำหนดเป้าหมายดำเนินการ “แก้ไขด่วน” สำหรับปัญหาคอมพิวเตอร์ เช่น ปัญหาด้านประสิทธิภาพ, ไดรเวอร์ขาดหาย หรือข้อผิดพลาดแบบป๊อปอัพ ตั้งแต่มีรายงานครั้งแรกในปี พ.ศ. 2567 เทคนิค ClickFix ได้นำไปสู่การแพร่กระจายมัลแวร์ผ่านเว็บไซต์ที่ถูกบุกรุก, โครงสร้างพื้นฐานการแจกจ่ายที่เป็นอันตราย และอีเมลฟิชชิ่ง
      กลยุทธ์ เทคนิค และขั้นตอน (TTPs)
      เทคนิค ClickFix อาศัยการ จี้คลิปบอร์ด (Clipboard Hijacking) โดยซอฟต์แวร์ที่เป็นอันตรายจะดักจับและแก้ไขข้อมูลที่ผู้ใช้คัดลอกและวางบนอุปกรณ์อย่างลับๆ โดยมักใช้กล่องโต้ตอบที่มีข้อความแสดงข้อผิดพลาดปลอมเพื่อหลอกให้ผู้ใช้คัดลอกสคริปต์หรือคำสั่งที่เป็นอันตรายลงในคลิปบอร์ดโดยใช้ ClickFix inject ก่อนให้คำแนะนำให้วางและรันเนื้อหาที่เป็นอันตราย ในช่วงไม่กี่เดือนที่ผ่านมา ผู้ไม่ประสงค์ดีได้ใช้หน้าเว็บยืนยันตัวตนปลอมที่ขอให้ผู้ใช้ดำเนินการบางอย่างก่อนเปลี่ยนเส้นทางไปยังหน้าเว็บที่ต้องการ ตัวอย่างข้อความป๊อปอัพของแคมเปญ ClickFix ปรากฏใน ภาคผนวก A ผู้ที่ตกเป็นเหยื่อมักดำเนินการตามขั้นตอนสามขั้นตอนที่ทำให้คำสั่ง PowerShell ที่เป็นอันตรายทำงานได้ ดังนี้:

      • เปิดกล่องโต้ตอบ Windows Run
      • คัดลอกและวางคำสั่ง PowerShell ที่เป็นอันตรายลงในเทอร์มินัลโดยอัตโนมัติหรือด้วยตนเอง [กด 'CTRL+V']
      • รันคำสั่ง [กด ‘Enter’]

      ผลกระทบ
      การดำเนินการเทคนิค ClickFix สำเร็จสามารถนำไปสู่การติดตั้งมัลแวร์หลากหลายประเภท เช่น NetSupport RAT, Latrodectus และ Lumma Stealer ซึ่งอาจส่งผลให้เกิดการขโมยข้อมูลประจำตัว, การรั่วไหลของข้อมูล, การบุกรุกบัญชีอีเมล และเหตุการณ์แรนซัมแวร์ ผู้ไม่ประสงค์ดีสามารถใช้การเข้าถึงระบบที่ถูกบุกรุกเพื่อยกระดับสิทธิ์และเคลี่อนย้ายไปยังระบบอื่นภายในเครือข่าย

      แนวทางการป้องกัน
      องค์กรควรดำเนินมาตรการป้องกันดังต่อไปนี้เพื่อป้องกันแคมเปญ ClickFix

      • เพิ่มความระมัดระวัง ต่อป๊อปอัพ “CAPTCHA” หรือ “Fix It” ปลอม และจดจำสัญญาณเตือน เช่น คำแนะนำให้ใช้กล่องโต้ตอบ Run โดยไม่คาดคิด
      • ปรับปรุงระบบ แอปพลิเคชัน และซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุด และใช้ซอฟต์แวร์ป้องกันไวรัสที่ทันสมัยเพื่อตรวจจับมัลแวร์และลิงก์ฟิชชิ่งที่เป็นอันตราย
      • ใช้โซลูชัน SIEM เพื่อบันทึกข้อมูล, มองเห็นสินทรัพย์ และตรวจสอบระบบอย่างต่อเนื่องเพื่อตรวจจับการเชื่อมต่อเครือข่ายที่ผิดปกติและคำสั่ง PowerShell ที่เป็นอันตราย
      • บังคับใช้นโยบายควบคุมการเข้าถึงที่เข้มงวด เพื่อให้ผู้ใช้และระบบมีสิทธิ์ขั้นต่ำที่จำเป็น เพื่อจำกัดผลกระทบจากการถูกบุกรุกและป้องกันการยกระดับสิทธิ์และการเคลื่อนย้ายด้านข้าง
      • ใช้การควบคุมแอปพลิเคชัน (Application Whitelisting) เพื่ออนุญาตให้เฉพาะซอฟต์แวร์และสคริปต์ที่ได้รับอนุญาตทำงาน เพื่อป้องกันการรันไฟล์ปฏิบัติการที่ไม่รู้จักและสคริปต์ PowerShell ที่เป็นอันตราย
      • ผู้ดูแลระบบควรพิจารณาติดตามและบล็อก ตัวบ่งชี้การถูกโจมตี (IOCs) ที่เกี่ยวข้องกับแคมเปญ ClickFix ดังแสดงในตารางด้านล่าง

      อ้างอิง
      https://www.csa.gov.sg/alerts-and-advisories/alerts/al-2025-068

      สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand 8a255db7-0ae9-4bec-9eba-b99988142062-image.png

      1 การตอบกลับ คำตอบล่าสุด ตอบ คำอ้างอิง 0
      • First post
        Last post