ที่มาภาพ: The Hacker News
WhatsApp ส่งไฟล์ VBScript ปลอมให้ติดตั้ง ManageEngine RMM
⚡ สรุป 30 วิ
Kaspersky พบแคมเปญที่ใช้ WhatsApp ส่งไฟล์ VBScript ปลอมเพื่อดาวน์โหลดและติดตั้ง ManageEngine RMM ที่ดัดแปลงเป็น RAT ผู้ใช้ Windows…
WhatsApp Desktop และ WhatsApp Web ถูกใช้เป็นช่องทางส่งไฟล์ VBScript ที่ปลอมแปลงเพื่อให้ผู้ใช้ดาวน์โหลดและติดตั้งซอฟต์แวร์ Remote Monitoring and Management (RMM) ของ ManageEngine** โดยแคมเปญนี้ได้รับการตรวจจับจาก Kaspersky และกระจายไปยังผู้ใช้ในหลายประเทศ การโจมตีแบบนี้เป็นการผสมผสานระหว่างไฟล์อันตรายที่ดูเหมือนธรรมดากับซอฟต์แวร์ที่มีชื่อเสียง เพื่อหลบหลีกการตรวจจับของระบบรักษาความปลอดภัย
Overview
การวิจัยของ Kaspersky เปิดเผยว่าไฟล์ VBScript ที่แนบมากับข้อความส่วนตัวใน WhatsApp ถูกออกแบบให้ทำงานอัตโนมัติเมื่อเปิดบนเครื่องคอมพิวเตอร์ที่ใช้ WhatsApp Desktop หรือผ่านเว็บเบราว์เซอร์ที่เปิด WhatsApp Web ผู้ใช้ที่คลิกไฟล์จะถูกนำไปสู่การดาวน์โหลดและติดตั้งซอฟต์แวร์ ManageEngine ซึ่งเป็นเครื่องมือจัดการระบบจากระยะไกลที่มักใช้ในองค์กร
แคมเปญนี้แสดงให้เห็นว่าผู้โจมตียังคงใช้ช่องทางสื่อสารที่ได้รับความนิยมสูงเพื่อหลบหลีกการตรวจจับของระบบอีเมลและแอปพลิเคชันอื่น ๆ การใช้ WhatsApp ทำให้แหล่งที่มาของไฟล์ดูเหมือนเป็นเพื่อนหรือคนรู้จัก ลดความระมัดระวังของผู้ใช้
จากข้อมูลเบื้องต้น แฟ้ม VBScript มีขนาดเล็กและไม่มีการเข้ารหัสซับซ้อน ทำให้การสแกนโดยซอฟต์แวร์ป้องกันทั่วไปอาจพลาดการตรวจจับได้ ผู้โจมตีจึงพึ่งพาการกระจายผ่านแพลตฟอร์มที่มีการเข้ารหัสและการส่งข้อความส่วนตัวเพื่อเพิ่มอัตราการสำเร็จของการโจมตี
Attack Vector
ไฟล์ VBScript ถูกส่งผ่านข้อความส่วนตัวของ WhatsApp โดยมักแนบด้วยไฟล์เอกสารหรือภาพหน้าจอปลอมที่อ้างว่าเป็นข้อมูลสำคัญหรือใบรับรอง การใช้ชื่อไฟล์ที่ดูเหมือนเป็นไฟล์ Office เช่น “Invoice.vbs” หรือ “Report.vbs” ทำให้ผู้ใช้สันนิษฐานว่าเป็นไฟล์เอกสารธรรมดา
เมื่อผู้ใช้เปิดไฟล์บนเครื่อง Windows ที่ติดตั้ง WhatsApp Desktop หรือเปิด WhatsApp Web ผ่านเบราว์เซอร์ ไฟล์จะทำการเรียกใช้สคริปต์ PowerShell หรือคำสั่งระบบอื่น ๆ เพื่อดาวน์โหลดตัวติดตั้งของ ManageEngine จากเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี
กระบวนการติดตั้งมักดำเนินการโดยอัตโนมัติโดยไม่ต้องขอสิทธิ์ผู้ดูแลระบบ (UAC) เนื่องจากสคริปต์ใช้เทคนิคการหลบเลี่ยง UAC ที่เคยพบในการโจมตีประเภทไฟล์สคริปต์อื่น ๆ ทำให้การติดตั้งสำเร็จโดยผู้ใช้ไม่ทราบ
Malware Payload
แม้ว่า ManageEngine เองเป็นซอฟต์แวร์ที่มีชื่อเสียงและใช้ในหลายองค์กร แต่ในกรณีนี้ตัวติดตั้งถูกแก้ไขให้รวมโค้ดอันตรายเพิ่มเติม โค้ดเหล่านี้ทำหน้าที่เป็น **Remote Access Trojan (RAT) ที่เปิดช่องทางให้ผู้โจมตีควบคุมเครื่องเป้าหมายจากระยะไกล
ฟังก์ชันหลักของมาลแวร์รวมถึงการดึงข้อมูลระบบ, การบันทึกการกดแป้นพิมพ์, การจับภาพหน้าจอ, และการอัปโหลดไฟล์สำคัญไปยังเซิร์ฟเวอร์ควบคุม นอกจากนี้ยังมีความสามารถในการดาวน์โหลดและติดตั้งมาลแวร์อื่น ๆ เพิ่มเติม ทำให้การโจมตีอาจขยายผลไปยังระบบภายในองค์กรได้
การใช้ซอฟต์แวร์ที่มีชื่อเสียงเป็นฐานทำให้มาลแวร์นี้อาจหลบการตรวจจับของระบบป้องกันแบบ signature‑based เนื่องจากไฟล์หลักยังคงมีลายเซ็นต์ของ ManageEngine ที่ถูกยอมรับ
Targeted Regions & Users
Kaspersky ระบุว่าการโจมตีได้ถูกกระจายไปยังผู้ใช้ในหลายประเทศ รวมถึง:
- มาเลเซีย
- บราซิล
- อินเดีย
- เม็กซิโก
- สิงคโปร์
- สหราชอาณาจักร
- สเปน
- ไต้หวัน
- ออสเตรเลีย
ผู้ใช้ที่ใช้ WhatsApp Desktop หรือ WhatsApp Web บนอุปกรณ์ Windows เป็นกลุ่มเป้าหมายหลัก เนื่องจากสคริปต์ VBScript ทำงานได้เฉพาะบนระบบปฏิบัติการ Windows การกระจายในประเทศเหล่านี้อาจสะท้อนถึงการใช้ WhatsApp อย่างกว้างขวางในภาคธุรกิจและองค์กร
Mitigation & Recommendations
Kaspersky แนะนำขั้นตอนต่อไปนี้เพื่อป้องกันการติดเชื้อ:
- หลีกเลี่ยงการดาวน์โหลดหรือเปิดไฟล์ VBScript ที่ได้รับจากแหล่งที่ไม่แน่นอน แม้ว่าจะมาจากผู้ติดต่อใน WhatsApp ก็ตาม
- ปรับการตั้งค่า WhatsApp Desktop และ WhatsApp Web ให้บล็อกการเปิดไฟล์สคริปต์โดยอัตโนมัติ หรือใช้เบราว์เซอร์ที่มีการปิดการทำงานของ VBScript
- ติดตั้งและอัปเดตซอฟต์แวร์ป้องกันมัลแวร์ที่รองรับการตรวจจับพฤติกรรมแบบไฟล์สคริปต์และการดาวน์โหลดจาก URL ที่น่าสงสัย
- ตรวจสอบกิจกรรมของระบบอย่างสม่ำเสมอ โดยมองหาไฟล์ ManageEngine ที่ถูกติดตั้งโดยไม่มีการยินยอมจากผู้ดูแลระบบ
การปฏิบัติตามแนวทางเหล่านี้จะช่วยลดความเสี่ยงของการให้สิทธิ์การเข้าถึงระยะไกลแก่ผู้โจมตีและป้องกันการขยายผลของมาลแวร์ในเครือข่ายองค์กร
Impact
การติดตั้ง ManageEngine ที่มีมาลแวร์ฝังอยู่ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลสำคัญขององค์กรได้ รวมถึงข้อมูลส่วนบุคคลของพนักงานและลูกค้า ความเสียหายที่อาจเกิดขึ้นรวมถึงการสูญเสียข้อมูล, การละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล, และความเสียหายต่อภาพลักษณ์ขององค์กร
นอกจากนี้ การใช้แอปพลิเคชันสื่อสารยอดนิยมอย่าง WhatsApp เป็นช่องทางการกระจายทำให้การตรวจจับและการตอบโต้ต้องอาศัยความร่วมมือระหว่างผู้ให้บริการแอปพลิเคชันและหน่วยงานรักษาความปลอดภัยไซเบอร์เพื่อปิดกั้นลิงก์อันตรายและให้ข้อมูลเชิงป้องกันแก่ผู้ใช้
Summary
แคมเปญมาลแวร์ที่ใช้ไฟล์ VBScript ผ่าน WhatsApp Desktop และ WhatsApp Web ทำให้ผู้ใช้ในหลายประเทศเสี่ยงต่อการติดตั้งซอฟต์แวร์ ManageEngine ที่มีโค้ดอันตราย Kaspersky แนะนำให้ผู้ใช้ระมัดระวังไฟล์แนบและปรับการตั้งค่าความปลอดภัยเพื่อป้องกันการโจมตีแบบนี้.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- WhatsApp VBScript Campaign Uses Fake Documents to Install ManageEngine RMM Tool
- ผู้เขียน
- [email protected] (The Hacker News)
- แหล่ง
- The Hacker News
- วันที่เผยแพร่
- 23 มิถุนายน 2569 เวลา 12:38
