กลุ่มแฮกเกอร์ใช้ n8n Webhooks ส่งมัลแวร์ผ่านทางอีเมล Phishing มาตั้งแต่ปี 2025

กลุ่มแฮกเกอร์ใช้ n8n Webhooks ส่งมัลแวร์ผ่านทางอีเมล Phishing มา

ตั้งแต่ปี 2025

การส่งอีเมลเพื่อหลอกลวงเหยื่อด้วยวิธีการแบบ Phishing นั้นเรียกได้ว่าเป็นวิธีการสุดคลาสสิคในการแพร่กระจายมัลแวร์สู่เหยื่อ ซึ่งหลายคนอาจจะเข้าใจว่าใช้เครื่องมือสำหรับการส่งอีเมลแบบหลอกลวงทั่วไปในการทำการนี้ แต่แท้ที่จริงแล้วในปัจจุบันกลับมีการนำเอาเครื่องมือที่หลายคนอาจจะไม่เชื่อว่าสามารถใช้เพื่อการนี้ได้มาใช้งาน

จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบแฮกเกอร์ที่อยู่เบื้องหลังแคมเปญส่งอีเมลหลอกลวงแบบ Phishing ได้มีการนำเอาเครื่องมือสำหรับการสร้างขั้นตอนการทำงาน (Workflow) ให้เครื่องมือปัญญาประดิษฐ์ (AI หรือ Artificial Intelligence) ต่าง ๆ สามารถทำงานได้อย่างอัตโนมัติ (Automation) อย่าง n8n เข้ามาร่วมเป็นส่วนหนึ่งในแคมเปญเหล่านี้ด้วย โดยการนำเอามาใช้ในการสร้าง Webhook ซึ่งเป็นกลไกในการส่งข้อมูลจากต้นทางไปยังปลายทางด้วยคำขอ (Request) อย่างอัตโนมัติที่จะส่งผลให้แอปพลิเคชันที่ทำงานร่วมกับตัว Webhook นั้นทำงานต่ออย่างอัตโนมัติถ้ามีการเกิดเหตุการณ์ (Event) ตามที่ถูกกำหนดไว้บนสคริปท์ ซึ่งก็แน่นอนว่าแอปพลิเคชันที่ทำงานร่วมกันในกรณีนี้คือมัลแวร์นั่นเอง

โดยในการทำงานของแคมเปญนี้นั้นจะเริ่มจากที่แฮกเกอร์ส่งอีเมลที่มีการฝัง Webhook ที่ถูกสร้างขึ้นด้วย n8n ในรูปแบบลิงก์แนบที่อ้างว่าเป็นเอกสารสำคัญ ซึ่งเมื่อเหยื่อเปิดขึ้นมาตัวลิงก์ก็จะพาเหยื่อไปยังหน้าจอยืนยันตัวตนแบบ Captcha ที่ถ้าเหยื่อทำเสร็จ ก็จะนำไปสู่การดาวน์โหลด และติดตั้งมัลแวร์นกต่อ (Dropper) ที่มาในรูปแบบไฟล์ NSIS (Nullsoft Scriptable Install System) ในทันที โดยมัลแวร์จะทำการสร้างความคงทนบนระบบ (Persistent) ด้วยการลงทะเบียนไฟล์ DLL ของมัลแวร์และตัว Service (บริการ) ที่เกี่ยวข้องมัลแวร์ เพื่อให้รับประกันได้ว่ามัลแวร์จะกลับมาทำงานใหม่ทุกครั้งหลังมีการรีบูทเครื่อง ซึ่งในขั้นตอนท้ายสุดจะนำไปสู่การรันสคริปท์ PowerShell เพื่อดาวน์โหลดเครื่องมือเช่น Datto และ ITarian Endpoint Management ในรูปแบบไฟล์ติดตั้งแบบ MSI (Microsoft Installer) ลงมาติดตั้ง ซึ่งเครื่องมือทั้ง 2 ตัวนี้จะเป็นเครื่องมือสำหรับการควบคุมเครื่องจากระยะไกลแบบ RMM (Remote Monitoring and Management) ที่จะทำหน้าที่เป็นมัลแวร์แบบเปิดประตูหลังของระบบ (Backdoor) โดยจะเชื่อมต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ให้แฮกเกอร์สามารถเข้าสู่ระบบได้ตลอดเวลา

ทางทีมวิจัยจาก Cisco Talos บริษัทผู้เชี่ยวชาญด้านการจัดการระบบเครือข่าย (Network) ได้อธิบายว่า แฮกเกอร์ที่อยู่เบื้องหลังจะใช้โดเมนรอง (Subdomain) ของ n8n ที่ชื่อ .app.n8n[.]cloud ในการใช้เป็น ตัวรับ Request จาก Webhook ที่ถูกฝังอยู่บนอีเมล Phishing ซึ่งหลังจากที่รับข้อมูลมา ก็จะนำไปสู่การทำงานตามขั้นตอนที่ถูกตั้งค่าไว้บน Workflow ที่แฮกเกอร์เขียนไว้บนระบบของ n8n นำไปสู่การฝังมัลแวร์ตามที่กล่าวไว้ข้างต้น แต่ความสามารถของตัว Webhook ของ n8n ยังมีความสามารถอื่น ๆ อีก นั่นคือฟีเจอร์ “ลายนิ้วมือ” (Fingerprint) ที่เพียงแค่ฝังไฟล์รูปภาพที่ถูกทำให้มองไม่เห็น หรือ โค้ดติดตาม (Tracking Code) ที่มีการสอดแทรก URL ของ Webhook ที่ถูกสร้างด้วย n8n ไว้อีกที เมื่อเหยื่อเปิดอีเมลขึ้นมาตัว Webhook ก็จะทำการส่ง Request ด้วยโปรโตคอลแบบ HTTP GET กลับไปยังต้นทาง พร้อมข้อมูลระบบตัวตนเช่น ที่อยู่อีเมลของเหยื่อ (Email Address) ที่จะช่วยระบุให้ว่าใครเป็นคนเปิดอีเมล อย่างอัตโนมัติ อีกด้วย