ClickFix รูปแบบใหม่ ใช้ nslookup แพร่ RAT

ClickFix รูปแบบใหม่ ใช้ nslookup แพร่ RAT

🚨 ClickFix รูปแบบใหม่ ใช้ nslookup ดึง PowerShell ผ่าน DNS ติดมัลแวร์โดยไม่รู้ตัว!

ภัยคุกคามไซเบอร์กำลังพัฒนาอย่างต่อเนื่อง ล่าสุดพบการโจมตี ClickFix รูปแบบใหม่ที่ใช้คำสั่ง nslookup ดึงสคริปต์ PowerShell ผ่านระบบ DNS เพื่อแพร่มัลแวร์ นับเป็นครั้งแรกที่แคมเปญ ClickFix ใช้ DNS เป็นช่องทางส่ง Payload 🎯

เทคนิคนี้ทำให้การโจมตีกลมกลืนกับทราฟฟิก DNS ปกติ และยากต่อการตรวจจับมากขึ้น

🔎 ClickFix คืออะไร?

ClickFix เป็นการโจมตีแบบ Social Engineering ที่หลอกให้ผู้ใช้รันคำสั่งด้วยตนเอง โดยมักอ้างว่า:

• แก้ Error ระบบ

• ติดตั้งอัปเดต

• เปิดใช้งานฟีเจอร์บางอย่าง

เมื่อเหยื่อรันคำสั่งที่ผู้โจมตีให้มา ระบบจะถูกติดตั้งมัลแวร์ทันที ⚠️

🧠 เทคนิคใหม่: ใช้ DNS ส่ง PowerShell Payload

จากรายงานของ Microsoft Threat Intelligence พบว่าแคมเปญใหม่นี้หลอกให้เหยื่อ:

1. เปิดหน้าต่าง Windows Run

2. รันคำสั่ง nslookup

3. ชี้ DNS ไปยังเซิร์ฟเวอร์ของผู้โจมตี แทน DNS ปกติขององค์กร

คำสั่งดังกล่าวจะ:

• ส่ง DNS Query ไปยังโดเมน เช่น example.com

• ใช้ DNS Server ของผู้โจมตี (เช่น 84 จุด 21 จุด 189 จุด 20)

• รับค่า Response กลับมาในช่อง NAME:

แต่แทนที่จะเป็นข้อมูล DNS ปกติ ค่าในช่อง NAME: กลับซ่อน PowerShell Script อันตราย เอาไว้ 💣
จากนั้นคำสั่งจะถูกส่งต่อให้ cmd.exe ทำการ Execute บนเครื่องเหยื่อทันที

📦 ขั้นตอนการติดมัลแวร์

เมื่อ PowerShell ถูกเรียกใช้งาน จะ:

• ดาวน์โหลดไฟล์ ZIP จากโครงสร้างพื้นฐานของผู้โจมตี

• ภายใน ZIP มี Python Runtime และสคริปต์อันตราย

• ทำการเก็บข้อมูล (Reconnaissance) ของเครื่องและโดเมน

หลังจากนั้นมัลแวร์จะสร้าง Persistence ดังนี้:

• %APPDATA%\WPy64-31401\python\script.vbs

• %STARTUP%\MonitoringService.lnk

เพื่อให้มัลแวร์รันทุกครั้งที่เปิดเครื่อง 🔄

Payload สุดท้ายคือ ModeloRAT ซึ่งเป็น Remote Access Trojan (RAT) ที่เปิดทางให้แฮกเกอร์ควบคุมเครื่องจากระยะไกลได้เต็มรูปแบบ 🕵️‍♂️

🌐 ทำไมการใช้ DNS ถึงอันตราย?

ปกติ ClickFix จะดึง Payload ผ่าน HTTP แต่เทคนิคใหม่นี้ใช้ DNS เป็นช่องทางสื่อสารแทน ทำให้:

• หลบเลี่ยงระบบตรวจจับบางประเภท

• ปรับเปลี่ยน Payload ได้แบบ Real-Time

• กลมกลืนกับทราฟฟิก DNS ปกติ

DNS มักเป็นทราฟฟิกที่องค์กรเปิดให้ใช้งานเสมอ ทำให้การโจมตีผ่านช่องทางนี้มีโอกาสสำเร็จสูงขึ้น 📡

📈 ClickFix กำลังพัฒนาอย่างรวดเร็ว

ในช่วงปีที่ผ่านมา ClickFix ได้พัฒนาเทคนิคใหม่ๆ อย่างต่อเนื่อง เช่น:

• หลอกให้รัน PowerShell ตรงๆ

• ใช้ Azure CLI OAuth ในแคมเปญ “ConsentFix” เพื่อยึดบัญชี Microsoft โดยไม่ต้องใช้รหัสผ่าน

• ใช้หน้าแชร์ของ ChatGPT, Grok และ Claude เพื่อเผยแพร่คู่มือปลอม

• หลอกผู้ใช้คริปโตผ่าน Pastebin ให้รัน JavaScript ในเบราว์เซอร์เพื่อขโมยธุรกรรม 💰

บางแคมเปญไม่ได้ติดตั้งมัลแวร์โดยตรง แต่เจาะระบบ Web Application เพื่อยึด Session หรือแก้ไขธุรกรรมแทน

🛡 องค์กรควรรับมืออย่างไร?

การโจมตีลักษณะนี้อาศัย “การคลิกและรันคำสั่งด้วยตัวเอง” ของพนักงานเป็นหลัก ดังนั้นองค์กรควร:

• จำกัดสิทธิ์การรันคำสั่งระดับสูง

• บล็อก DNS ที่ไม่ผ่าน DNS Filtering

• ใช้ EDR/XDR ตรวจจับพฤติกรรมผิดปกติ

• อบรมพนักงานเรื่อง Social Engineering

องค์กรที่ไม่มีทีมไอทีภายใน ควรพิจารณาใช้ IT Outsource หรือ บริการดูแลระบบคอมพิวเตอร์ เพื่อ:

• เฝ้าระวังภัยคุกคามแบบเชิงรุก (Proactive Monitoring)

• ตั้งค่า DNS Security และ Endpoint Protection

• ตรวจสอบ Log ผิดปกติแบบเรียลไทม์

• จัดทำนโยบายความปลอดภัยไซเบอร์

การมีผู้เชี่ยวชาญดูแลจะช่วยลดความเสี่ยงจากภัยคุกคามที่พัฒนาอย่างรวดเร็วเช่น ClickFix ได้อย่างมีประสิทธิภาพ 🚀

📌 สรุป

ClickFix เวอร์ชันใหม่ที่ใช้ nslookup และ DNS ในการส่ง PowerShell Payload ถือเป็นเทคนิคที่ซับซ้อนและตรวจจับได้ยากกว่ารูปแบบเดิม

ภัยคุกคามไซเบอร์ในปัจจุบันไม่ได้อาศัยเพียงช่องโหว่ระบบ แต่เน้น “หลอกคน” เป็นหลัก 😰
ดังนั้นการป้องกันที่ดีต้องผสานทั้งเทคโนโลยีและการบริหารจัดการ โดยเฉพาะในองค์กรที่ต้องการความมั่นคงปลอดภัยระยะยาวผ่าน IT Outsource หรือ บริการดูแลระบบคอมพิวเตอร์ อย่างมืออาชีพ 🛡️

ที่มา – https://www.bleepingcomputer.com/news/security/new-clickfix-attack-abuses-nslookup-to-retrieve-powershell-payload-via-dns/