ทีมวิจัย Microsoft Defender ได้รายงานการตรวจพบแคมเปญโจมตีทางไซเบอร์ที่แพร่ระบาดผ่าน 🤖 “เครื่องมือช่วยเล่นเกม” (trojanized gaming utilities) โดยผู้ไม่หวังดีจะปลอมแปลงไฟล์ให้ดูเหมือนโปรแกรมทั่วไปเพื่อหลอกล่อให้ผู้ใช้งานดาวน์โหลดไปติดตั้ง

กลโกงและรูปแบบการโจมตี
👿 ผู้โจมตีจะเผยแพร่มัลแวร์ผ่านเว็บเบราว์เซอร์และแพลตฟอร์มแชตต่าง ๆ โดยใช้ชื่อไฟล์ที่สื่อถึงโปรแกรมเล่นเกมหรือเครื่องมือเสริม เช่น Xeno.exe หรือ RobloxPlayerBeta.exe เมื่อเหยื่อหลงเชื่อรันไฟล์ดังกล่าว มัลแวร์ประเภท Remote Access Trojan (RAT) จะถูกติดตั้งลงในระบบทันที ซึ่งเปิดโอกาสให้ผู้ไม่หวังดีสามารถเข้าควบคุมเครื่องคอมพิวเตอร์ของท่านจากระยะไกลได้

ความอันตรายและการหลบเลี่ยงการตรวจจับ
มัลแวร์ตัวนี้มีกลไกที่ซับซ้อนเพื่อไม่ให้เจ้าของเครื่องรู้ตัว ดังนี้
   พรางตัวแนบเนียน: มีการใช้สคริปต์ PowerShell ร่วมกับเครื่องมือที่มีอยู่แล้วในระบบ (LOLBins) เช่น cmstp.exe เพื่อปิดบังกิจกรรมที่ผิดปกติ
   ปิดกั้นแอนตี้ไวรัส: มัลแวร์จะพยายามเพิ่มข้อยกเว้น (Exclusions) ใน Microsoft Defender เพื่อไม่ให้ระบบตรวจพบ และลบไฟล์ที่เกี่ยวข้องทิ้งเพื่อลดร่องรอย
   ฝังตัวถาวร: มีการสร้าง Scheduled Task และสคริปต์เริ่มทำงานอัตโนมัติ เพื่อให้มัลแวร์สามารถกลับมาทำงานได้เสมอแม้จะมีการรีสตาร์ทเครื่องใหม่
   เชื่อมต่อเซิร์ฟเวอร์ควบคุม: เพย์โหลดหลักจะทำหน้าที่เชื่อมต่อไปยังไอพี 79.110.49.15 เพื่อรับคำสั่งจากเซิร์ฟเวอร์ควบคุม (C2) ของผู้โจมตี

ผลกระทบต่อผู้ใช้งาน 😵
หากเครื่องคอมพิวเตอร์ถูกฝังมัลแวร์ชนิดนี้ ผู้ไม่หวังดีอาจดำเนินการขโมยข้อมูลสำคัญส่วนบุคคล หรือลักลอบติดตั้งมัลแวร์ประเภทอื่น ๆ เพิ่มเติม ซึ่งส่งผลกระทบต่อความมั่นคงปลอดภัยของข้อมูลอย่างรุนแรง

ข้อแนะนำในการป้องกัน 🧱
1.  หลีกเลี่ยงการดาวน์โหลดซอฟต์แวร์จากแหล่งที่ไม่น่าเชื่อถือ โดยเฉพาะโปรแกรมช่วยเล่นเกม (Cheats/Mod) ที่ไม่ได้มาจากผู้พัฒนาอย่างเป็นทางการ
2.  หมั่นสังเกตความผิดปกติของเครื่อง และตรวจสอบรายการข้อยกเว้นในโปรแกรมแอนตี้ไวรัสว่ามีรายการใดที่เราไม่ได้เป็นคนเพิ่มเองหรือไม่
3.  ติดตามข่าวสารภัยคุกคามทางไซเบอร์จากแหล่งข้อมูลที่เชื่อถือได้ เช่น ThaiCERT เพื่อให้เท่าทันกลโกงใหม่ ๆ

ที่มาข้อมูล Thaicert.or.th