หน้าแรก ตรวจหวย เว็บบอร์ด ควิซ Pic Post แชร์ลิ้ง หาเพื่อน Chat หาเพื่อน Line Page อัลบั้ม คำคม Glitter เกมถอดรหัสภาพ คำนวณ การเงิน ราคาทองคำ กินอะไรดี
ข้อตกลงการใช้บริการนโยบายความเป็นส่วนตัวนโยบายเนื้อหานโยบายการสร้างรายได้About Usติดต่อเว็บไซต์แจ้งเนื้อหาไม่เหมาะสม
News บอร์ดต่างๆค้นหาตั้งกระทู้

ระวังเว็บ Claude ปลอม หลอกดาวน์โหลดรุ่นโปร ที่จริงเป็นมัลแวร์ PlugX

เขียนโดย Annonymus TN

ระวังเว็บ Claude ปลอม หลอกดาวน์โหลดรุ่นโปร ที่จริงเป็นมัลแวร์ PlugX

 

ในช่วงที่ผ่านมา ชื่อของเครื่องมือปัญญาประดิษฐ์ หรือ AI (Artificial Intelligence) ที่มาแรงสุดคงจะหนีไม่พ้น Claude ตั้งแต่ดราม่ากับรัฐบาลสหรัฐอเมริกา มาจนถึงการที่โค้ดต้นฉบับ (Source Code) ถูกขโมยด้วยความเลินเล่อของพนักงาน ทำให้มีแฮกเกอร์มากมายมาเกาะกระแสไม่เว้นแต่กรณีนี้

 

รายงานจากเว็บไซต์ Security Affair ได้กล่าวถึงการตรวจพบเว็บไซต์ปลอมของ Claude เครื่องมือ AI ชื่อดังที่ถูกพัฒนาโดยบริษัท Anthropic โดยเว็บไซต์ปลอมเหล่านี้จะมีการหลอกลวงเหยื่อที่หลงเข้ามาว่า มีการแจก Claude ในเวอร์ชันสำหรับการใช้งานระดับสูง หรือ Pro Version ฟรี แต่แท้จริงแล้วภายในนั้นเป็นมัลแวร์ประเภทเข้าควบคุมเครื่องจากระยะไกล หรือ RAT (Remote Access Trojan) ที่มีชื่อว่า PlugX โดยไฟล์ที่หลอกให้เหยื่อดาวน์โหลดนั้นจะเป็นไฟล์บีบอัดในรูปแบบ Zip ที่เมื่อคลายไฟล์ออกมานั้น ภายในจะเป็นไฟล์สำหรับการติดตั้งนามสกุล MSI ที่คล้ายคลึงกับตัวติดตั้ง Claude ของจริง ที่มีการสะกดผิดไปจากเดิมเล็กน้อย พร้อมไฟล์ทางลัด (Shortcut) ที่สามารถนำไปสู่การรันสคริปท์มัลแวร์แบบ VBS ซึ่งเมื่อกดที่ไฟล์ดังกล่าว ก็จะนำไปสู่การรันแอปพลิเคชันเพื่อพรางพฤติกรรมที่แท้จริงให้ดูไม่น่าสงสัย

 

แต่เบื้องหลังนั้นกลับเป็นการรันสคริปท์ดังกล่าวขึ้นมา โดยสคริปท์จะทำการคัดลอกไฟล์ 3 ไฟล์ นั่นคือ NOVUpdate.exe, avk.dll, และไฟล์ .dat ที่ถูกเข้ารหัสไว้ (Encryption) ชื่อ NOVUpdate.exe.dat ไปยังโฟลเดอร์ Windows Startup แล้วทำการแอบรันอย่างเงียบ ๆ ซึ่งจะเป็นการรันมัลแวร์ (Payload) จากไฟล์ avk.dll ด้วยเทคนิคการรันไฟล์ DLL ที่นำเข้าสู่ระบบเอง หรือ DLL Sideloading ซึ่งตัวไฟล์ DLL นั้นจะทำการถอดรหัสไฟล์ .Dat ดังกล่าวออกมาเป็น Payload ของมัลแวร์ PlugX ฝังลงไปบนเครื่อง

 

หลังจากที่มัลแวร์ได้ฝังลงสู่เครื่องแล้ว มัลแวร์ก็จะทำการติดต่อกับเซิร์ฟเวอร์ควบคุม (Command and Control หรือ C2) ที่ตั้งอยู่บนหมายเลขไอพี 8.217.190[.]58 ผ่านทางโปรโตคอล HTTP ในทันที นอกจากนั้นตัวมัลแวร์ยังได้ทำการแค่ค่า Registry Key ของ TCP/IP เพื่อดัดแปลงพฤติกรรมการทำงานของการติดต่อกับระบบเครือข่าย (Network) นอกจากนั้น เพื่อป้องกันการถูกตรวจจับ สคริปท์ที่ทำหน้าที่ติดตั้งมัลแวร์เมื่อทำหน้าที่ติดตั้งอย่างสมบูรณ์แล้ว ก็จะทำการลบตัวเอง พร้อมกับไฟล์สคริปท์ Batch ชื่อว่า ~del.vbs.bat ทิ้งเพื่อกลบเกลื่อนร่องรอยของตัวเองที่เคยทำงานบนเครื่อง

 

PlugX นั้นเดิมเป็นมัลแวร์ที่ใช้งานปฏิบัติการสอดแนม (Espionage) ของกลุ่มแฮกเกอร์ที่ทำงานให้กับรัฐบาลจีน แต่ในตอนหลังตัวโค้ดต้นฉบับ (Source Code) ของมัลแวร์ตัวนี้ได้รั่วไหลสู่สาธารณะ ทำให้นำไปสู่การวางขายมัลแวร์ตัวนี้ตามเว็บบอร์ดใต้ดิน และ ตลาดมืด กันอย่างเป็นล่ำเป็นสัน จนทำให้เป็นการยากที่จะระบุกลุ่มอาชญากรที่อยู่เบื้องหลังแคมเปญนี้ได้อย่างชัดเจน

เนื้อหาโดย: Annonymus TN
⚠ แจ้งเนื้อหาไม่เหมาะสม 
Annonymus TN's profile
มีผู้เข้าชมแล้ว 38 ครั้ง
เขียนโดย Annonymus TN
นักข่าวสายอาชญากรรมไซเบอร์และเทคโนโลยี เชี่ยวชาญการรายงานภัยออนไลน์ เช่น มัลแวร์ การหลอกลวง และการใช้ AI ในทางผิด โดยนำเสนอข้อมูลที่ซับซ้อนให้เข้าใจง่าย กระชับ และตรงประเด็น เพื่อให้ผู้อ่านรู้ทันภัยดิจิทัลก่อนตกเป็นเ
เป็นกำลังใจให้เจ้าของกระทู้โดยการ VOTE และ SHARE
Hot Topic ที่น่าสนใจอื่นๆ
AI วิเคราะห์สถิติ 20 ปีหวยงวด 16 ก.ค.69 ให้เลขท้าย 2 ตัวเน้นๆ!เพิ่งรู้ว่าปุ่ม ESC บนคีย์บอร์ด ทำไมถึงอยู่มุมซ้ายบนมาตลอดจังหวัดอันดับหนึ่งของไทย ที่โดดเด่นเรื่องนางงามมากที่สุดAI วิเคราะห์เลขท้าย 3 ตัวรางวัลที่ 1 งวดวันที่ 16 กรกฎาคม 25697 ไอเทมที่คนรวยจริง "ไม่คิดจะซื้อ" แต่อวดรวยชอบมี10 จังหวัดที่มีพระภิกษุสงฆ์และสามเณรมากที่สุดในประเทศไทยทำไมบางคนไม่อยากกลับบ้าน ทั้งที่บ้านควรเป็นที่ปลอดภัย108 ท่าบนเตียง มีอะไรบ้าง Sex position ท่าเด็ดบนเตียงของล้ำค่าที่ไม่มีใครเอากลับมา 5 เรื่องจริงของสิ่งที่ถูกทิ้งไว้เฉย ๆ10 รายการทีวีไทยยุค 90 ที่ได้รับ ความนิยมมากที่สุดส่องแนวทางเลขเด็ดตาทิพย์และเลขปฏิทินหลวงพ่อนำโชค งวดวันที่ 16 กรกฎาคม 2569เปิด 3 ประเทศยอดฮิตที่เด็ก สปป.ลาว นิยมไปเรียนต่อต่างประเทศ
Hot Topic ที่มีผู้ตอบล่าสุด
มหาวิทยาลัยไทยที่คนจีนชื่นชอบที่สุด มีคนจีนมาเรียนต่อจำนวนมากที่สุดทำไมโคอาลาชอบนอนทั้งวัน? คำตอบอยู่ที่ใบยูคาลิปตัส
กระทู้อื่นๆในบอร์ด ข่าววันนี้
เกาะพะงันกำลังจะกลายเป็น "อิสราเอลแห่งเอเชีย" จริงหรือ?สะเดา รวบ 2ผู้ต้องหาแก๊งลักสายไฟ พร้อมของกลางอื้อชายสิงคโปร์ผวา เห็นเงาคล้ายคนผมยาวหลังต้นไม้กลางดึก5 หนังสยองขวัญนอกกระแส ที่คนรักหนังแนวหลอนควรรู้จัก
ตั้งกระทู้ใหม่