ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ฐานข้อมูลภัยคุกคาม มัลแวร์ ช่องโหว่ของ DRILLAPP

ช่องโหว่ของ DRILLAPP

โดย Mezo ใน มัลแวร์, ภัยคุกคามขั้นสูงที่คงอยู่ (APT), ประตูหลัง
แปลเป็น:

นักวิเคราะห์ด้านความปลอดภัยทางไซเบอร์ได้ระบุถึงแคมเปญคุกคามใหม่ที่มุ่งเป้าไปที่องค์กรในยูเครน โดยมีตัวบ่งชี้ที่ชี้ให้เห็นถึงการมีส่วนร่วมของผู้ก่อการร้ายที่เชื่อมโยงกับรัสเซีย กิจกรรมดังกล่าวซึ่งตรวจพบครั้งแรกในเดือนกุมภาพันธ์ 2026 แสดงให้เห็นถึงความคล้ายคลึงทางเทคนิคกับปฏิบัติการก่อนหน้านี้ที่ถูกระบุว่าเป็นของกลุ่มที่รู้จักกันในชื่อ Laundry Bear (หรือที่รู้จักในชื่อ UAC-0190 หรือ Void Blizzard) แคมเปญก่อนหน้านี้มุ่งเป้าไปที่กองกำลังป้องกันประเทศของยูเครนและใช้ตระกูลมัลแวร์ที่เรียกว่า PLUGGYAPE

ปฏิบัติการล่าสุดนี้ได้นำเอาแบ็กดอร์ที่ใช้ JavaScript มาใช้ โดยทำงานผ่านเบราว์เซอร์ Microsoft Edge มัลแวร์นี้ ซึ่งนักวิจัยเรียกว่า DRILLAPP ถูกออกแบบมาเพื่อใช้ประโยชน์จากความสามารถของเบราว์เซอร์ในการอัปโหลดและดาวน์โหลดไฟล์ เข้าถึงไมโครโฟน และบันทึกภาพจากเว็บแคมของเหยื่อ

ผู้โจมตีอาศัยกลยุทธ์ทางสังคมในการเผยแพร่ส่วนประกอบที่เป็นอันตราย โดยใช้สิ่งล่อใจที่อ้างถึงเรื่องทางกฎหมายหรือกิจกรรมการกุศล เพื่อกระตุ้นให้เหยื่อเปิดไฟล์ที่เป็นอันตรายและเริ่มต้นกระบวนการแพร่ระบาด

เหยื่อล่อที่หลอกลวงและวิธีการแพร่เชื้อในระยะเริ่มต้น

แคมเปญนี้ถูกตรวจพบในสองรูปแบบที่แตกต่างกัน เวอร์ชันแรกที่ตรวจพบในช่วงต้นเดือนกุมภาพันธ์ 2026 ใช้ไฟล์ทางลัดของ Windows (LNK) เป็นกลไกการส่งเริ่มต้น เมื่อเรียกใช้งาน ทางลัดนี้จะสร้างไฟล์แอปพลิเคชัน HTML (HTA) ในไดเร็กทอรีชั่วคราวของระบบ จากนั้นไฟล์ HTA นี้จะดึงสคริปต์ระยะไกลที่โฮสต์อยู่บนบริการแชร์เนื้อหาที่ถูกต้องตามกฎหมายอย่าง Pastefy

เพื่อรักษาการทำงานอย่างต่อเนื่องบนระบบที่ถูกบุกรุก ผู้โจมตีจะคัดลอกไฟล์ LNK ที่เป็นอันตรายไปยังโฟลเดอร์ Startup ของ Windows เพื่อให้แน่ใจว่าไฟล์นั้นจะทำงานโดยอัตโนมัติหลังจากรีสตาร์ทระบบทุกครั้ง เมื่อการติดเชื้อเริ่มต้นขึ้น เหยื่อจะพบกับ URL ที่มีธีมล่อลวง รวมถึงคำแนะนำเกี่ยวกับการติดตั้ง Starlink หรือการอ้างอิงถึงมูลนิธิการกุศล Come Back Alive Foundation ของยูเครน

ไฟล์ HTA จะถูกเรียกใช้งานผ่านเบราว์เซอร์ Microsoft Edge ในโหมดไร้หน้าต่าง (headless mode) ซึ่งช่วยให้เบราว์เซอร์สามารถเรียกใช้สคริปต์ที่ถูกเข้ารหัสซึ่งดึงมาจาก Pastefy โดยไม่ต้องแสดงหน้าต่างเบราว์เซอร์ปกติ

การใช้ประโยชน์จากพารามิเตอร์ของเบราว์เซอร์เพื่อการเข้าถึงแบบซ่อนเร้น

เพื่อเพิ่มประสิทธิภาพสูงสุด กระบวนการที่เป็นอันตรายจะเรียกใช้เบราว์เซอร์ Edge ด้วยพารามิเตอร์หลายอย่างที่ลดทอนการป้องกันความปลอดภัยในตัว และเปิดโอกาสให้เข้าถึงทรัพยากรระบบที่สำคัญโดยไม่ได้รับอนุญาต

พารามิเตอร์เหล่านี้ทำให้โปรแกรมเบราว์เซอร์สามารถข้ามผ่านระบบป้องกันทั่วไปและดำเนินการต่างๆ ที่ปกติแล้วถูกจำกัดโดยแบบจำลองความปลอดภัยของเบราว์เซอร์ การกำหนดค่านี้ทำให้มัลแวร์สามารถเข้าถึงไฟล์ในเครื่อง บันทึกเสียงและวิดีโอ และบันทึกกิจกรรมบนหน้าจอได้โดยไม่ต้องมีการโต้ตอบใดๆ จากเหยื่อ

พารามิเตอร์เบราว์เซอร์หลักที่ใช้ในการโจมตี ได้แก่:

--ไม่มีแซนด์บ็อกซ์

--ปิดใช้งานระบบรักษาความปลอดภัยเว็บ

--อนุญาตให้เข้าถึงไฟล์จากไฟล์ต่างๆ

--ใช้ UI ปลอมสำหรับสตรีมมีเดีย

--เลือกแหล่งที่มาของการจับภาพหน้าจออัตโนมัติ=จริง

--ปิดใช้งานระบบรักษาความปลอดภัยสื่อของผู้ใช้

การใช้การตั้งค่าเหล่านี้ในทางที่ผิด ทำให้เบราว์เซอร์กลายเป็นส่วนประกอบสำคัญของโครงสร้างพื้นฐานของมัลแวร์ แทนที่จะเป็นเพียงแพลตฟอร์มสำหรับการส่งมัลแวร์เท่านั้น

ช่องโหว่และขีดความสามารถในการสอดแนมผ่านเว็บเบราว์เซอร์

ไฟล์ DRILLAPP ทำหน้าที่เป็นแบ็กดอร์ที่มีขนาดเล็กแต่ใช้งานได้หลากหลาย เมื่อเปิดใช้งานแล้ว จะช่วยให้ผู้โจมตีสามารถโต้ตอบกับระบบที่ติดไวรัสผ่านฟังก์ชันต่างๆ ของเบราว์เซอร์ ทำให้เบราว์เซอร์กลายเป็นเครื่องมือสอดแนมระยะไกลได้อย่างมีประสิทธิภาพ

มัลแวร์นี้สามารถดำเนินการหลายอย่างที่ช่วยให้สามารถตรวจสอบและรวบรวมข้อมูลจากอุปกรณ์ที่ถูกโจมตีได้อย่างครอบคลุม

ความสามารถหลักประกอบด้วย:

  • การอัปโหลดและดาวน์โหลดไฟล์จากระบบภายในเครื่อง
  • บันทึกเสียงผ่านไมโครโฟนของอุปกรณ์
  • การบันทึกวิดีโอผ่านเว็บแคม
  • การถ่ายภาพหน้าจอของระบบ
  • การสร้างลายนิ้วมือเฉพาะของอุปกรณ์โดยใช้เทคนิคการสร้างลายนิ้วมือบนผืนผ้าใบ

ในการทำงานครั้งแรก มัลแวร์จะสร้างลายนิ้วมือของอุปกรณ์และใช้ Pastefy เป็น 'ตัวแก้ไขจุดส่งลับ' เพื่อดึงที่อยู่ WebSocket ที่ใช้สำหรับการสื่อสารควบคุมและสั่งการ โครงสร้างนี้ช่วยให้ผู้โจมตีสามารถเปลี่ยนเส้นทางระบบที่ติดมัลแวร์ไปยังโครงสร้างพื้นฐานการทำงานของตนได้อย่างไดนามิก

มัลแวร์นี้ยังส่งลายนิ้วมือของอุปกรณ์พร้อมกับตำแหน่งทางภูมิศาสตร์ที่คาดเดาได้ของเหยื่อด้วย โดยตำแหน่งจะถูกกำหนดจากเขตเวลาของระบบและตรวจสอบกับรายการที่กำหนดไว้ล่วงหน้า ซึ่งรวมถึงสหราชอาณาจักร รัสเซีย เยอรมนี ฝรั่งเศส จีน ญี่ปุ่น สหรัฐอเมริกา บราซิล อินเดีย ยูเครน แคนาดา ออสเตรเลีย อิตาลี สเปน และโปแลนด์ หากเขตเวลาไม่ตรงกับภูมิภาคใด ๆ ในรายการนี้ มัลแวร์จะระบุระบบนั้นว่าตั้งอยู่ในสหรัฐอเมริกาโดยค่าเริ่มต้น

เทคนิคที่พัฒนาขึ้นในแคมเปญที่สอง (รูปแบบต่าง ๆ)

แคมเปญเวอร์ชันที่สองปรากฏขึ้นในช่วงปลายเดือนกุมภาพันธ์ 2026 โดยมีการปรับเปลี่ยนหลายอย่างแต่ยังคงโครงสร้างการโจมตีโดยรวมไว้ แทนที่จะใช้ไฟล์ทางลัด LNK เวอร์ชันที่อัปเดตแล้วจะใช้โมดูลแผงควบคุมของ Windows เป็นกลไกการส่งเริ่มต้น

ส่วนประกอบแบ็กดอร์เองก็ได้รับการอัปเกรดด้านฟังก์ชันการทำงานเช่นกัน การปรับปรุงเหล่านี้ทำให้มัลแวร์สามารถดำเนินการกับระบบไฟล์ได้ลึกยิ่งขึ้น และเพิ่มความสามารถในการขโมยข้อมูลออกจากสภาพแวดล้อมที่ติดเชื้อ

การปรับปรุงที่สำคัญ ได้แก่ การแจงนับไฟล์แบบวนซ้ำ การอัปโหลดไฟล์เป็นชุด และความสามารถในการดาวน์โหลดไฟล์ใดๆ ก็ได้โดยตรงไปยังระบบที่ถูกโจมตี

การหลีกเลี่ยงข้อจำกัดของ JavaScript ด้วยเครื่องมือดีบักของ Chromium

ข้อจำกัดด้านความปลอดภัยของ JavaScript มาตรฐานโดยทั่วไปจะป้องกันไม่ให้โค้ดจากระยะไกลดาวน์โหลดไฟล์ลงในระบบของเหยื่อโดยตรง เพื่อหลีกเลี่ยงข้อจำกัดนี้ ผู้โจมตีจึงใช้ประโยชน์จาก Chrome DevTools Protocol (CDP) ซึ่งเป็นอินเทอร์เฟซการดีบักภายในที่ใช้โดยเบราว์เซอร์ที่ใช้ Chromium

สามารถเข้าถึง CDP ได้ก็ต่อเมื่อเปิดเบราว์เซอร์โดยเปิดใช้งานพารามิเตอร์ --remote-debugging-port เท่านั้น การเปิดใช้งานฟังก์ชันการดีบักนี้ทำให้ผู้โจมตีสามารถควบคุมพฤติกรรมของเบราว์เซอร์ได้โดยทางโปรแกรม และหลีกเลี่ยงข้อจำกัดฝั่งไคลเอ็นต์ทั่วไป ทำให้สามารถดาวน์โหลดไฟล์จากระยะไกลได้ ซึ่งโดยปกติแล้วจะถูกบล็อกไว้

ตัวชี้วัดการพัฒนาในระยะเริ่มต้นและโครงสร้างพื้นฐานเชิงทดลอง

หลักฐานบ่งชี้ว่ามัลแวร์ดังกล่าวยังอยู่ในระหว่างการพัฒนาอย่างต่อเนื่อง สายพันธุ์แรกๆ ที่ถูกค้นพบในวงกว้างเมื่อวันที่ 28 มกราคม 2026 นั้น ติดต่อสื่อสารกับโดเมน 'gnome.com' เพียงอย่างเดียว แทนที่จะดึงข้อมูลหลักจาก Pastefy

พฤติกรรมนี้บ่งชี้ว่าผู้โจมตีอาจยังคงอยู่ในระหว่างการปรับปรุงทั้งโครงสร้างพื้นฐานและความสามารถในการปฏิบัติงานของช่องโหว่ดังกล่าว

การใช้เบราว์เซอร์ในทางที่ผิดเป็นกลยุทธ์การหลีกเลี่ยงที่กำลังเกิดขึ้นใหม่

หนึ่งในแง่มุมที่สำคัญที่สุดของแคมเปญนี้คือการจงใจใช้เว็บเบราว์เซอร์เป็นสภาพแวดล้อมการทำงานหลักสำหรับแบ็กดอร์ แนวทางนี้เน้นให้เห็นถึงแนวโน้มที่กำลังเพิ่มขึ้นซึ่งผู้โจมตีนำซอฟต์แวร์ที่ถูกต้องตามกฎหมายมาใช้ใหม่เพื่อหลีกเลี่ยงการตรวจจับ

เบราว์เซอร์มีข้อดีหลายประการสำหรับปฏิบัติการที่เป็นอันตราย เนื่องจากมีการใช้งานอย่างแพร่หลายและโดยทั่วไปถือว่าเป็นกระบวนการที่ไม่เป็นอันตราย จึงลดโอกาสที่จะเกิดความสงสัยในทันที นอกจากนี้ พารามิเตอร์การดีบักของเบราว์เซอร์ยังสามารถปลดล็อกความสามารถที่มีประสิทธิภาพ ซึ่งช่วยให้สามารถกระทำการที่ถูกจำกัดไว้ได้ เช่น การดาวน์โหลดไฟล์จากระยะไกลและการเข้าถึงระบบอย่างกว้างขวาง

นอกจากนี้ เบราว์เซอร์ยังรักษาสิทธิ์ที่ถูกต้องในการโต้ตอบกับทรัพยากรฮาร์ดแวร์ที่สำคัญ รวมถึงไมโครโฟน กล้อง และกลไกการจับภาพหน้าจอ ซึ่งทำให้ผู้โจมตีสามารถดำเนินการสอดแนมได้โดยกลมกลืนไปกับพฤติกรรมปกติของระบบ

มาแรง

Tarwils.com

เว็บไซต์อันธพาล, แอดแวร์
Tarwils.com คือ URL ที่เชื่อมโยงกับเว็บเพจหลอกลวงซึ่งใช้กลวิธีที่ผิดจรรยาบรรณ เป้าหมายหลักคือการส่งเสริมกลยุทธ์และการส่งการแจ้งเตือนเบราว์เซอร์ที่รุกรานไปยังผู้ใช้ นอกจากนี้...

พรีคลูสโตร์.คอม

เว็บไซต์อันธพาล, แฮกเกอร์เบราว์เซอร์
Precludestore.com ถูกระบุว่าเป็นเว็บไซต์หลอกลวง โดยมีลิงก์ในเครือถือว่าไม่น่าเชื่อถือ ผู้ใช้มักพบไซต์นี้ผ่านโฆษณาป๊อปอัปที่ไม่คาดคิด ซึ่งแสดง URL ของไซต์ในระหว่างกิจกรรมออนไลน์ตามปกติ เช่น...

Beringlousnet.com

เว็บไซต์อันธพาล, แอดแวร์, แฮกเกอร์เบราว์เซอร์
การใช้ความระมัดระวังขณะท่องเว็บไม่ใช่เรื่องที่เลือกได้อีกต่อไป แต่เป็นสิ่งจำเป็น อาชญากรไซเบอร์พัฒนาเทคนิคหลอกลวงอย่างต่อเนื่องเพื่อเอาเปรียบผู้ใช้ที่ไม่ระมัดระวัง...

เข้าชมมากที่สุด

เอพอนเนอร์ดอทคอม

ปัญหา
23,222
อินเทอร์เน็ตเป็นพื้นที่กว้างใหญ่ที่เต็มไปด้วยเนื้อหาที่มีประโยชน์ ความบันเทิง และข้อมูลต่างๆ แต่ก็มีมุมมืดด้วยเช่นกัน ไม่ว่าคุณจะกำลังสตรีมรายการ ดาวน์โหลดแอป...

Fuq.คอม

โปรแกรมต่อต้านสปายแวร์ Rogue, มัลแวร์ Mac
21,836
Fuq.com เป็นโปรแกรมประเภทแอดแวร์ที่ส่งเสริมเว็บไซต์ที่มีเนื้อหาอนาจาร แคมเปญโฆษณาของโปรแกรมที่อาจไม่เป็นที่ต้องการ (PUP) นี้มีความก้าวร้าวมาก...
กำลังโหลด...