แคมเปญมัลแวร์ใหม่ ส่ง Remcos RAT ซ่อนตัวบน Windows

แคมเปญมัลแวร์ใหม่ ส่ง Remcos RAT ซ่อนตัวบน Windows

🚨 แคมเปญมัลแวร์ใหม่ SHADOW#REACTOR แพร่ Remcos RAT โจมตี Windows หลายขั้นตอน

นักวิจัยด้านความปลอดภัยไซเบอร์เปิดเผยแคมเปญมัลแวร์รูปแบบใหม่ชื่อ SHADOW#REACTOR ซึ่งใช้การโจมตีแบบหลายขั้นตอน (Multi-Stage Attack) ที่ซับซ้อนและหลบเลี่ยงการตรวจจับ เพื่อส่งมัลแวร์ Remcos RAT เข้าสู่ระบบ Windows และเปิดช่องให้แฮกเกอร์ควบคุมเครื่องจากระยะไกลแบบลับ ๆ 🕵️‍♂️

Remcos RAT เป็นเครื่องมือ Remote Administration Tool เชิงพาณิชย์ที่ถูกนำไปใช้ในทางผิดกฎหมายอย่างแพร่หลาย โดยเฉพาะในองค์กรธุรกิจและกลุ่ม SME ที่ขาดการดูแลด้านความปลอดภัยเชิงลึก

🔗 กลไกการโจมตีหลายชั้น ซับซ้อนและแนบเนียน

กระบวนการติดมัลแวร์เริ่มจากไฟล์ VBS ที่ถูก obfuscate ซึ่งมักถูกกระตุ้นผ่านการคลิกลิงก์ฟิชชิ่งหรืออีเมลหลอกลวง 📧
เมื่อผู้ใช้เผลอเปิดไฟล์ ระบบจะทำงานตามลำดับดังนี้:

1. wscript.exe เรียกใช้ VBS launcher

2. VBS เรียก PowerShell Downloader

3. PowerShell ดาวน์โหลด payload แบบข้อความ (.txt)

4. Payload ถูกประกอบใหม่ในหน่วยความจำ (In-memory)

5. ใช้ .NET Reactor Loader เพื่อถอดรหัส

6. เรียก MSBuild.exe (LOLBin) เพื่อรัน Remcos RAT

ทั้งหมดนี้เกิดขึ้นโดยแทบไม่ทิ้งไฟล์มัลแวร์แบบดั้งเดิมไว้ในเครื่อง ทำให้ระบบ Antivirus ตรวจจับได้ยากมาก ⚠️

🧠 เทคนิค “Self-Healing” ทำให้มัลแวร์ทำงานต่อเนื่อง

จุดเด่นของแคมเปญนี้คือการใช้ payload แบบ text-only และกลไกตรวจสอบความสมบูรณ์ของไฟล์ หากไฟล์ยังไม่ครบหรือเสียหาย ระบบจะดาวน์โหลดใหม่อัตโนมัติ ⏳
แนวคิดนี้ช่วยให้มัลแวร์ “ไม่พังกลางทาง” และสามารถทำงานได้ต่อเนื่อง แม้สภาพแวดล้อมจะไม่สมบูรณ์

🎯 เป้าหมายหลัก: องค์กรและธุรกิจขนาดกลาง

นักวิจัยระบุว่าแคมเปญนี้โจมตีแบบกว้าง (Opportunistic) โดยมุ่งเป้าไปที่:

• องค์กรธุรกิจ

• บริษัทขนาดกลางและเล็ก (SME)

• ระบบที่ยังไม่มีมาตรการป้องกันเชิงรุก

พฤติกรรมดังกล่าวสอดคล้องกับกลุ่ม Initial Access Broker ซึ่งมักแฮกระบบเพื่อขายสิทธิ์การเข้าถึงต่อให้กลุ่มอาชญากรอื่น 💰

🛡️ ทำไมองค์กรควรมี IT Outsource หรือ บริการดูแลระบบคอมพิวเตอร์

การโจมตีรูปแบบนี้สะท้อนชัดว่า ภัยไซเบอร์ยุคใหม่ไม่ใช่แค่ไวรัสธรรมดา แต่เป็นการโจมตีเชิงลึก ใช้เครื่องมือของระบบเอง และทำงานแบบไร้ไฟล์ (Fileless Attack)

การมี IT Outsource หรือ บริการดูแลระบบคอมพิวเตอร์ ช่วยให้องค์กร:

• เฝ้าระวังพฤติกรรมผิดปกติแบบ 24/7 🔍

• ปรับ Policy ป้องกัน PowerShell และ LOLBins

• ตรวจจับการโจมตีเชิงพฤติกรรม (Behavior-based)

• ลดความเสี่ยงจากการคลิกลิงก์หรือไฟล์อันตราย

✅ สรุป

แคมเปญ SHADOW#REACTOR คืออีกตัวอย่างของมัลแวร์ยุคใหม่ที่ ซับซ้อน หลบเลี่ยงเก่ง และอันตรายต่อองค์กรอย่างยิ่ง หากไม่มีการดูแลระบบอย่างมืออาชีพ องค์กรอาจถูกควบคุมเครื่องจากระยะไกลโดยไม่รู้ตัว 😨

การลงทุนใน IT Outsource หรือ บริการดูแลระบบคอมพิวเตอร์ จึงไม่ใช่ค่าใช้จ่าย แต่คือการป้องกันความเสียหายที่อาจเกิดขึ้นในอนาคต 🚀

ที่มา – https://thehackernews.com/2026/01/new-malware-campaign-delivers-remcos.html