ระวัง แจ้งเตือนไมโครซอฟต์ปลอม หลงเชื่ออาจติดมัลแวร์อิมพอร์ตจากเกาหลีเหนือ
ผู้ใช้งานระวัง แจ้งเตือนไมโครซอฟต์ปลอม หลงเชื่ออาจติดมัลแวร์อิมพอร์ตจากเกาหลีเหนือได้
จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบแคมเปญใหม่ของกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ScarCruft ที่มีการใช้งานแคมเปญหลอกลวงแบบเฉพาะเจาะจง (Spear-Phishing) ด้วยการส่งข้อความแจ้งเตือนที่ตีเนียนเป็นแจ้งเตือนความปลอดภัยของบัญชีจาก Microsoft Account เพื่อหลอกให้เหยื่อติดตั้งมัลแวร์ประเภทเข้าความคุมระบบของเหยื่อจากระยะไกล (RAT หรือ Remote Access Trojan) ชื่อ NarwhalRAT ซึ่งมัลแวร์ตัวนี้มีความสามารถในการลักลอบขโมยข้อมูลที่หลากหลาย ไม่ว่าจะเป็น การดักจับการพิมพ์ (Keylogging), การลักลอบบันทึกภาพหน้าจอ (Screenshot), เก็บข้อมูลจากไดร์ฟ USB, อัปโหลดโฟลเดอร์, แอบเก็บข้อมูลต่าง ๆ ของ Windows และ รันคำสั่งต่าง ๆ (Instruction) ที่ถูกส่งมาจากเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) โดยชื่อของมัลแวร์นั้นมาจากโฟลเดอร์ลับที่มีชื่อว่า "%APPDATA%naverwhale" ที่ตัวมัลแวร์ใช้งานในการรวบรวมข้อมูลเพื่อแอบส่งออก (Exfiltration) ไปให้แฮกเกอร์ ซึ่งชื่อนี้ก็เป็นการตั้งเลียนแบบมาจากแอปพลิเคชันเว็บเบราว์เซอร์ของทางบริษัท Naver (บริษัทแม่ของ LINE) ที่มีชื่อว่า Naver Whale
ในส่วนของการหลอกลวงนั้น แฮกเกอร์จะทำการส่งอีเมลที่ตีเนียนว่ามาจาก Microsoft Account ทำทีแจ้งเตือนเหยื่อว่ามีกิจกรรมผิดปกติในการเข้าใช้งานบัญชีจากการสร้างรหัสใช้งานครั้งเดียว (OTP หรือ One-Time Password) แบบซ้ำ ๆ พร้อมกับไฟล์แนบที่อ้างว่าเป็นคู่มือแนะนำในการจัดการกับปัญหาที่เกิดขึ้น แต่ความจริงแล้วเป็นไฟล์บีบอัดสกุล .Zip ที่มีไฟล์แบบ Internet Shortcut สกุล LNK ซ่อนอยู่ภายใน ซึ่งถ้าเหยื่อกดเปิดขึ้นมา ก็จะนำไปสู่การติดตั้งมัลแวร์แบบหลากขั้นตอน (Multi-Stages Infection) ในขณะเดียวกันก็ทำการดาวน์โหลดไฟล์เครื่องมือสำหรับการรัน Python ลงมาจากเว็บไซต์อย่างเป็นทางการของ พร้อมกับไฟล์ CAT (Windows security catalog) ที่ทำหน้าที่ในการดึง (Fetch) ไฟล์มัลแวร์ (Payload) ลงมาจากเซิร์ฟเวอร์ C2 และใช้เครื่องมือดังกล่าวรัน โดยหลังจากที่มัลแวร์ติดตั้งตัวเองลงเครื่องเสร็จเรียบร้อยแล้ว ก็จะทำการสร้างความคงทนบนระบบด้วยการตั้งเวลาทำงาน (Task Scheduling) ในชื่อว่า "MicrosoftUserInterfacePicturesUpdateTackMachine" และ"MicrosoftMusicLibrariesPackageTaskMachine” โดย Task เหล่านี้จะเป็นการใช้งานไฟล์ CAT ดังกล่าวเพื่อดึง Payload ลงมาบนเครื่องอีกครั้งหนึ่ง
เขียนโดย Annonymus TN
เจาะลึกสูตร "เลขสัมประสิทธิ์ส่วนต่าง" คัดกรองคู่เด่น 2 ตัวตรงล่างงวดนี้ 16/07/2569
สะเดาะกุญแจได้อย่างไรเมื่อข้างในไม่มีระบบจำเจ้าของ
4 รถแห่ที่มีค่าจ้างที่แพงที่สุด
วิธีใช้ปลั๊กพ่วงอย่างปลอดภัยและป้องกันสายไฟร้อนจัด
10 นามสกุลที่พบเห็นบ่อยในไทย มีทั้งแซ่จีนและนามสกุลไทย
ฝนหนัก น้ำท่วม สิ่งสำคัญที่ควรยกขึ้นที่สูงก่อนใครเพื่อน
ทำไม "ทรายจากทะเลทราย" ถึงเอามาสร้างตึกสร้างบ้านไม่ได้
เหรียญ 10 มูลค่า 1 ล้านบาท
10 ลางบอกเหตุก่อนถูกรางวัล จากประสบการณ์ที่ผู้โชคดีเคยเล่าไว้
เลขเด็ด 16 กรกฎาคม 2569 จาก ทุกสำนักดังทั่วไทย
เปิด 10 อันดับเลขเด็ดขายดี งวดวันที่ 16 กรกฎาคม 69..ส่องเลย เลขไหนมาแรง!!
108 ท่าบนเตียง มีอะไรบ้าง Sex position ท่าเด็ดบนเตียง
ระวัง ข้อความเสียงปลอมผ่านทางอีเมล หลอกให้เข้าเว็บมิจฉาชีพเพื่อฝังมัลแวร์
“สรรเพชญ” ลุยจัดระเบียบเจ็ตสกีภูเก็ต เปิดปฏิบัติการกวาดล้างวันแรก จับผู้กระทำผิด 23 ราย เตรียมขยายผลต่อเนื่อง
ผู้ว่าฯ สงขลา เร่งแก้ปัญหาการใช้งานด่านศุลกากรสะเดาแห่งใหม่ บูรณาการทุกหน่วยงานปรับระบบจราจร เพิ่มป้ายประชาสัมพันธ์ อำนวยความสะดวกผู้เดินทาง พร้อมรับฟังข้อเสนอภาคประชาชนลดผลกระทบเศรษฐกิจพื้นที่ด่านนอก
กลยุทธ์ของอินเดีย