เตือนภัย Dead#Vax มัลแวร์ Fileless บน Windows
Dead#Vax ใช้กลโกงหลายชั้น หลบทุกด่านความปลอดภัย 🕵️♂️
Dead#Vax เป็นมัลแวร์แบบ Multi-stage ที่ผสานทั้ง
-
Social Engineering
-
การใช้งานไฟล์ Disk Image (VHD)
-
การรันโค้ดในหน่วยความจำ (In-memory Execution)
ทั้งหมดนี้ทำให้มัลแวร์แทบไม่ทิ้งร่องรอยบนดิสก์ และยากต่อการตรวจจับด้วย Antivirus ทั่วไป
เริ่มโจมตีด้วยอีเมล Phishing ปลอมเป็นเอกสารธุรกิจ 📧
แคมเปญ Dead#Vax เริ่มจากอีเมล Phishing ที่ปลอมเป็นบริษัทน่าเชื่อถือ เช่น ใบสั่งซื้อ (PO) หรือใบแจ้งหนี้ (Invoice) โดยแนบลิงก์ไปยังไฟล์ Virtual Hard Disk (VHD) ที่โฮสต์อยู่บนเครือข่าย IPFS
เมื่อผู้ใช้เปิดไฟล์ VHD:
-
Windows จะมองเป็นไดรฟ์ภายใน
-
ระบบ Mark-of-the-Web ถูกปิดอัตโนมัติ
-
ไฟล์อันตรายสามารถรันได้โดยแทบไม่มีการเตือน ⚠️
ใช้ Script และ PowerShell ซ่อนโค้ดอย่างแนบเนียน 🧩
หลังจากเปิด VHD การติดเชื้อจะดำเนินต่อผ่าน
-
Windows Script Files
-
Batch Script ที่ถูก Obfuscate
-
PowerShell Loader หลายชั้น
โค้ดจะถูกถอดรหัสแบบ Runtime เท่านั้น ทำให้เครื่องมือรักษาความปลอดภัยแบบเดิมตรวจจับได้ยากมาก ซึ่งเป็นจุดที่ทีม IT Outsource หรือ บริการดูแลระบบคอมพิวเตอร์ ต้องให้ความสำคัญเป็นพิเศษ
Inject มัลแวร์เข้า Memory โดยไม่สร้างไฟล์บนเครื่อง 💣
ขั้นสุดท้าย Dead#Vax จะโหลด Shellcode แบบ x64 เข้าไปในหน่วยความจำโดยตรง และ Inject เข้า Process ที่ Microsoft ลงนามรับรอง เช่น
-
OneDrive.exe
-
RuntimeBroker.exe
Payload ที่ถูกใช้งานคือ AsyncRAT ซึ่งสามารถ
-
สอดแนมข้อมูล
-
ขโมย Credential
-
ดูดข้อมูลออกนอกองค์กร
-
เปิดทางโจมตีระยะยาวได้ 😱
มัลแวร์ฉลาด ตรวจจับ Sandbox และป้องกันการวิเคราะห์ 🔍
Dead#Vax มีระบบ Anti-analysis ขั้นสูง เช่น
-
ตรวจจับ Virtual Machine
-
เช็กหน่วยความจำขั้นต่ำ
-
ป้องกันการ Inject ซ้ำเพื่อไม่ให้ระบบล่ม
รวมถึงสร้าง Persistence ผ่าน Scheduled Task แบบแนบเนียน ทำให้ลบออกได้ยาก
บทเรียนสำคัญสำหรับองค์กรและผู้ดูแลระบบ 🏢
รายงานของ Securonix ชี้ชัดว่า ภัยคุกคามยุคใหม่ใช้ฟีเจอร์ปกติของระบบปฏิบัติการเป็นอาวุธ และการป้องกันแบบชั้นเดียวไม่เพียงพออีกต่อไป
องค์กรควร:
-
ใช้ระบบ EDR / XDR
-
ตรวจสอบพฤติกรรม (Behavior-based Detection)
-
มีทีมผู้เชี่ยวชาญด้านความปลอดภัย หรือใช้ IT Outsource หรือ บริการดูแลระบบคอมพิวเตอร์ ที่มีประสบการณ์ด้าน Incident Response 🛡️
📌 สรุป
Dead#Vax คืออีกตัวอย่างที่ตอกย้ำว่า ความปลอดภัย IT ต้องอาศัยทั้งเทคโนโลยีและผู้เชี่ยวชาญ ไม่ใช่แค่ Antivirus เพียงอย่างเดียว
ที่มา – https://siliconangle.com/2026/02/04/securonix-warns-deadvax-malware-campaign-abusing-windows-fileless-execution/