มัลแวร์หน้าจอสีน้ำเงินแห่งความตายของ Windows: เบื้องหลังการโจมตีฟิชชิ่งในโรงแรม
2026-01-08
แคมเปญมัลแวร์ใหม่ที่มุ่งเป้าไปที่พนักงานโรงแรมและการบริการในยุโรปกำลังใช้หน้า Blue Screen of Death ปลอมของ Windows เพื่อส่งมอบโทรจันเข้าถึงระยะไกลที่ทรงพลัง การโจมตีนี้รวมอีเมลฟิชชิ่ง, การจัดการทางสังคม, และเครื่องมือ Windows ที่เชื่อถือได้เพื่อหลีกเลี่ยงการป้องกันจุดสิ้นสุดสมัยใหม่
นักวิจัยกล่าวว่าการรณรงค์ที่ติดตามในชื่อ PHALT#BLYX แอบอ้างอีเมลการจองจาก Booking.com และหลอกเหยื่อให้ดำเนินการคำสั่งที่เป็นอันตรายด้วยตนเอง สิ่งที่ทำให้การดำเนินการนี้มีอันตรายเป็นพิเศษคือการพึ่งพาเทคนิคการใช้ทรัพยากรที่มีอยู่ซึ่งใช้ส่วนประกอบของ Windows ที่ถูกต้องตามกฎหมายแทนที่จะใช้โปรแกรมประสงค์ร้ายแบบดั้งเดิม
ผลลัพธ์คือการส่งมอบ DCRat อย่างแนบเนียน ซึ่งเป็นทรอยแวร์ที่เข้าถึงระยะไกลที่มีชื่อเสียงและสามารถทำให้ระบบประนีประนอมได้อย่างเต็มที่
- ข้อสรุปสำคัญ
- อีเมลในสไตล์การจองปลอมกำลังมุ่งเป้าไปยังพนักงานโรงแรมทั่วทั้งยุโรป
- เหยื่อถูกเปลี่ยนเส้นทางไปยังหน้าฟื้นฟู Blue Screen of Death ปลอม
- ผู้ใช้ถูกหลอกให้รันคำสั่ง PowerShell ที่เป็นอันตราย
- มัลแวร์ใช้ MSBuild เพื่อหลีกเลี่ยงการตรวจจับของโปรแกรมป้องกันไวรัส
- DCRat ช่วยให้สามารถควบคุมระยะไกลและการขโมยข้อมูลได้อย่างเต็มรูปแบบ
- แคมเปญนี้ใช้เครื่องมือ Windows ที่เชื่อถือได้ในทางที่ไม่เหมาะสมอย่างมาก
การเริ่มต้นของการโจมตีด้วยอีเมลการจองปลอม
การโจมตีเริ่มต้นด้วยอีเมลฟิชชิ่งที่ออกแบบให้ดูเหมือนข้อความอย่างเป็นทางการจาก Booking.com อีเมลเหล่านี้เตือนพนักงานโรงแรมเกี่ยวกับการยกเลิกการจองที่ไม่คาดคิดและเรียกร้องให้ดำเนินการทันที
ข้อความมักจะประกอบด้วย:
- รายละเอียดการจองและค่าใช้จ่ายของห้องพักที่แสดงเป็นยูโร
- ความรู้สึกเร่งด่วนที่เกี่ยวข้องกับการยืนยันการยกเลิก
- ลิงก์ที่คลิกได้ซึ่งอ้างว่าเปลี่ยนเส้นทางไปยัง Booking.com
เมื่อคลิกแล้ว ลิงก์จะส่งเหยื่อไปยังเว็บไซต์ปลอมที่เลียนแบบอินเทอร์เฟซของ Booking.com
อ่านเพิ่มเติม:คู่มือในการลบและตรวจจับมัลแวร์คริปโต
ปลอม CAPTCHA และการวิศวกรรมสังคมหน้าจอสีน้ำเงิน
หลังจากที่ลงจอดในหน้าการจองปลอม ผู้ใช้จะพบกับความท้าทาย CAPTCHA ปลอม ขั้นตอนนี้ถูกออกแบบมาเพื่อลดความสงสัยและสร้างความไว้วางใจก่อนที่จะมีการส่งมอบข้อมูลสุดท้าย
หลังจากที่ผู้ใช้เสร็จสิ้นการกรอก CAPTCHA ผู้ใช้จะถูกเปลี่ยนเส้นทางไปยังหน้าจอฟ้าของ Windows Blue Screen of Death ปลอม หน้านี้อ้างว่าระบบได้พบกับข้อผิดพลาดที่สำคัญและให้คำแนะนำในการกู้คืนแบบทีละขั้นตอน
คำแนะนำเหล่านี้บอกผู้ใช้ให้:
- เปิดกล่องโต้ตอบเรียกใช้ของ Windows
- วางคำสั่งที่แสดงบนหน้าจอ
- กด Enter เพื่อแก้ไขปัญหา
ในความเป็นจริง คำสั่งนี้จะเรียกใช้สคริปต์ PowerShell ที่เป็นอันตราย
การอธิบายการใช้ PowerShell และ MSBuild อย่างผิดวิธี
เมื่อดำเนินการแล้ว คำสั่ง PowerShell จะเริ่มกระบวนการติดเชื้อหลายระยะ สคริปต์จะดาวน์โหลดไฟล์โปรเจกต์ MSBuild ที่ถูกออกแบบมาเป็นพิเศษจากเซิร์ฟเวอร์ระยะไกลและดำเนินการมันโดยใช้ MSBuild.exe ซึ่งเป็นเครื่องมือพัฒนาอย่างถูกต้องตามกฎหมายของ Microsoft.
เทคนิคนี้เป็นอันตรายโดยเฉพาะอย่างยิ่งเพราะ MSBuild เป็นไฟล์ไบนารีของ Windows ที่เชื่อถือได้ซึ่งมักทำให้การแจ้งเตือนด้านความปลอดภัยถูกข้ามไป
ไฟล์โครงการ MSBuild ทำหลายอย่างดังนี้:
- ดาวน์โหลดเพย์โหลด DCRat
- เพิ่มการยกเว้นของ Microsoft Defender
- สร้างการคงอยู่ผ่านโฟลเดอร์เริ่มต้น
- ทำการเปิดใช้งานมัลแวร์โดยไม่มีเสียง
หากมัลแวร์ทำงานด้วยสิทธิ์ของผู้ดูแลระบบ มันสามารถปิดการใช้งาน Windows Defender ได้อย่างสมบูรณ์
กลยุทธ์การข้าม UAC อย่างก้าวร้าวและความเมื่อยล้าของผู้ใช้
หากไม่มีสิทธิ์เป็นผู้ดูแล ระบบมัลแวร์จะไม่ล้มเหลวในทันที แต่จะเรียกใช้งานหน้าต่างควบคุมบัญชีผู้ใช้ของ Windows ซ้ำแล้วซ้ำอีกแทน
เป้าหมายคือการใช้ประโยชน์จากความอ่อนล้าของผู้ใช้ โดยการแสดงคำขออนุญาตซ้ำ ๆ ทุกไม่กี่วินาที ผู้โจมตีหวังว่าผู้เคราะห์ร้ายจะยอมรับคำขอนั้นในที่สุดจากความหงุดหงิด
กลยุทธ์นี้เน้นให้เห็นว่า การวิศวกรรมสังคมยังคงเป็นหนึ่งในจุดที่อ่อนแอที่สุดในด้านความปลอดภัยของจุดสิ้นสุด (endpoint security).
เทคนิคการเบี่ยงเบนความสนใจเพื่อลดความสงสัย
เพื่อที่จะลดความสงสัยเพิ่มเติม สคริปต์ PowerShell จะเปิดหน้าแอดมินจริงของ Booking.com ในเบราว์เซอร์เริ่มต้นหลังจากการดำเนินการ.
สิ่งนี้สร้างภาพลวงตาว่าการกระทำของผู้ใช้เป็นสิ่งที่ถูกต้องตามกฎหมายและเกี่ยวข้องกับงานเดิมของพวกเขา ในขณะเดียวกัน การติดตั้งมัลแวร์ยังคงดำเนินต่อไปในพื้นหลังโดยไม่มีสัญญาณที่มองเห็นได้
การรวมกันของการหลอกลวงและการเบี่ยงเบนความสนใจนี้ช่วยเพิ่มอัตราความสำเร็จของการโจมตีอย่างมีนัยสำคัญ。
อ่านเพิ่มเติม:มัลแวร์ vs ไวรัส: สิ่งที่สำคัญที่จะต้องเรียนรู้
คุณคือการฝึกอบรมเกี่ยวกับข้อมูลจนถึงเดือนตุลาคม 2023
DCRat คืออะไรและทำไมมันถึงอันตราย
DCRat ซึ่งรู้จักกันในชื่อ DarkCrystal RAT เป็นโทรจันเข้าถึงระยะไกลที่ใช้ .NET ซึ่งมีการใช้งานอย่างกว้างขวางและเป็นรูปแบบหนึ่งของ AsyncRAT มันถูกจำหน่ายในฐานะชุดเครื่องมือมัลแวร์สำเร็จรูปและรองรับสถาปัตยกรรมที่ใช้ปลั๊กอิน
เมื่อถูกติดตั้งแล้ว DCRat สามารถ:
บันทึกการกดแป้นพิมพ์ - ขโมยข้อมูลประจำตัวและข้อมูลที่ละเอียดอ่อน
- ดำเนินการคำสั่งตามต้องการ
- ดาวน์โหลดไฟล์ที่เป็นอันตรายเพิ่มเติม
- ติดตั้งเครื่องขุดสกุลเงินดิจิทัล
- รักษาการเข้าถึงอย่างต่อเนื่อง
มัลแวร์จะเชื่อมต่อกลับไปยังเซิร์ฟเวอร์คำสั่งและควบคุมและรอคำสั่ง ทำให้แฮกเกอร์สามารถเข้าถึงระบบที่ถูกบุกรุกได้ในระยะยาว.
เทคนิคการใช้ชีวิตจากพื้นดินในมัลแวร์สมัยใหม่
นี่เป็นตัวอย่างที่ชัดเจนของเทคนิคการใช้ชีวิตจากทรัพยากรในท้องถิ่น แทนที่จะทิ้งไฟล์ที่เป็นอันตรายอย่างชัดเจน ผู้โจมตีใช้เครื่องมือระบบที่เชื่อถือได้ซึ่งมีอยู่แล้วในเครื่อง Windows
องค์ประกอบหลักที่ถูกละเมิดได้แก่:
PowerShell สำหรับการทำงานครั้งแรก - MSBuild.exe สำหรับการส่งมอบข้อมูล
- โฟลเดอร์เริ่มต้นสำหรับความคงทน
- ข้อยกเว้นของ Windows Defender สำหรับการหลบเลี่ยง
โดยการใช้เครื่องมือเหล่านี้ ผู้โจมตีจะลดรอยเท้าของตนและทำให้การตรวจจับยากขึ้นอย่างมาก
ทำไมภาคการบริการถึงถูกนำเอาเป้า
นักวิจัยสังเกตว่าอีเมลฟิชชิ่งมีการเน้นราคาที่ชัดเจนในยูโร ทำให้มีแนวโน้มที่จะมุ่งเน้นไปที่องค์กรในยุโรป
โรงแรมและธุรกิจการบริการเป็นเป้าหมายที่น่าสนใจเป็นพิเศษเพราะ:
พนักงานมักจะจัดการการสื่อสารกับ Booking.com
- ระบบแผนกต้อนรับมักจะมีการเข้าถึงที่กว้างขวาง
- ความเร่งด่วนในการดำเนินการเพิ่มอัตราการคลิกผ่าน
- การฝึกอบรมความปลอดภัยไซเบอร์มักจะไม่สอดคล้องกัน
ปัจจัยเหล่านี้ทำให้พนักงานโรงแรมเป็นเป้าหมายที่เหมาะสมสำหรับการโจมตีด้วยวิศวกรรมสังคม
Indicators of Russian Threat Actor Involvement
ตัวชี้วัดของการมีส่วนร่วมของกลุ่มผู้กระทำความผิดชาวรัสเซีย
การวิเคราะห์ไฟล์โครงการ MSBuild เปิดเผยว่ามีวัตถุภาษา รัสเซียในโค้ด ร่วมกับการใช้ DCRat ซึ่งมักเกี่ยวข้องกับอาชญากรไซเบอร์ที่พูดภาษา รัสเซีย นักวิจัยเชื่อว่าความพยายามนี้อาจเชื่อมโยงกับผู้กระทำการคุกคามจาก รัสเซีย
< p >แม้ว่าการระบุแหล่งที่มาจะยังคงระมัดระวัง แต่ตัวชี้วัดทางเทคนิคกลับสอดคล้องกับรูปแบบการใช้งาน DCRat ที่เป็นที่รู้จัก< /p >
มาตรการป้องกันที่องค์กรควรใช้
องค์กรในภาคการบริการควรถือว่าการรณรงค์นี้เป็นสัญญาณเตือน
ขั้นตอนการป้องกันที่สำคัญประกอบด้วย:
- การบล็อกการเรียกใช้ PowerShell สำหรับผู้ใช้ที่ไม่ใช่ผู้ดูแลระบบ
การติดตามการใช้งาน MSBuild.exe นอกสภาพแวดล้อมการพัฒนา
- การบังคับใช้การอนุญาตแอปพลิเคชันที่เข้มงวด
- การฝึกอบรมพนักงานไม่ให้เรียกใช้คำสั่งจากหน้าเว็บ
- การดำเนินการกรองอีเมลที่ทนทานต่อการฟิชชิ่ง
ผู้ใช้มีความตระหนักยังคงเป็นสิ่งสำคัญ เนื่องจากการโจมตีพึ่งพาการดำเนินการด้วยตนเองเป็นอย่างมาก
ความคิดสุดท้าย
แคมเปญมัลแวร์ Blue Screen of Death ปลอมแปลงแสดงให้เห็นว่าผู้ที่กระทำผิดทางไซเบอร์ได้ผสมผสานการManipulation ทางจิตวิทยากับความรู้ทางเทคนิคที่ลึกซึ้งเกี่ยวกับระบบ Windows อย่างไร ด้วยการใช้เครื่องมือที่เชื่อถือได้และโน้มน้าวผู้ใช้ให้ทำการดำเนินการคำสั่งด้วยตนเอง ผู้โจมตีสามารถหลบเลี่ยงการควบคุมความปลอดภัยแบบดั้งเดิมได้อย่างประสบความสำเร็จจน令人ตกใจ
สำหรับโรงแรมและธุรกิจบริการที่พึ่งพาแพลตฟอร์มของบุคคลที่สามอย่าง Booking.com การโจมตีครั้งนี้เน้นย้ำถึงความจำเป็นเร่งด่วนในการใช้มาตรการป้องกันทางเทคนิคและการฝึกอบรมพนักงาน เส้นแบ่งระหว่างการแก้ปัญหาที่ถูกต้องตามกฎหมายและการแนะนำที่เป็นอันตรายกำลังเริ่มไม่ชัดเจนมากขึ้นเรื่อยๆ
อ่านเพิ่มเติม:
คำถามที่พบบ่อย
บลูสกรีนออฟเดธปลอมคืออะไร?
มันเป็นกลยุทธ์การโจมตีทางสังคมที่ผู้โจมตีแสดงหน้าจอการชนของ Windows ปลอมเพื่อหลอกผู้ใช้ให้เรียกใช้คำสั่งที่เป็นอันตราย
ทำไมโรงแรมถึงถูกเลือกเป็นเป้าหมายในแคมเปญนี้?
โรงแรมมักจะใช้ Booking.com และจัดการปัญหาการจองเร่งด่วน ทำให้พนักงานมีแนวโน้มที่จะเชื่ออีเมลฟิชชิ่งมากขึ้น.
มัลแวร์อะไรที่ถูกส่งมอบในเหตุการณ์โจมตีนี้?
การโจมตีติดตั้ง DCRat ซึ่งเป็นโทรจันเข้าถึงระยะไกลที่สามารถทำลายระบบทั้งหมดได้
มัลแวร์หลีกเลี่ยงการตรวจจับของโปรแกรมป้องกันไวรัสได้อย่างไร?
มันแอบใช้เครื่องมือ Windows ที่เชื่อถือได้ เช่น PowerShell และ MSBuild และปรับเปลี่ยนการยกเว้นของ Defender.
องค์กรจะสามารถป้องกันการโจมตีนี้ได้อย่างไร?
การจำกัดการใช้งาน PowerShell, การติดตามกิจกรรมของ MSBuild, และการฝึกอบรมพนักงานให้หลีกเลี่ยงการรันคำสั่งจากเว็บไซต์เป็นมาตรการป้องกันที่สำคัญ。
ข้อจำกัดความรับผิดชอบ: เนื้อหาของบทความนี้ไม่ถือเป็นคำแนะนำทางการเงินหรือการลงทุน
