เตือนภัย! มัลแวร์ TamperedChef แฝงตัวในโปรแกรมแก้ PDF ฟรี หลอกติดตั้งเพื่อขโมยรหัสผ่าน-คุกกี้
นักวิจัยด้านความปลอดภัยไซเบอร์ได้ค้นพบแคมเปญอาชญากรรมทางไซเบอร์ที่ใช้เทคนิคโฆษณาแฝงมัลแวร์ (Malvertising) เพื่อล่อลวงเหยื่อไปยังเว็บไซต์ปลอม และติดตั้งมัลแวร์ขโมยข้อมูลตัวใหม่ที่ชื่อว่า 'TamperedChef'
ทีมนักวิจัยจาก Truesec ได้เปิดเผยในรายงานล่าสุดว่า "เป้าหมายของแคมเปญนี้คือการหลอกล่อให้เหยื่อดาวน์โหลดและติดตั้งโปรแกรมแก้ไข PDF ที่ถูกฝังโทรจันไว้ ซึ่งภายในมีมัลแวร์ขโมยข้อมูลที่ชื่อว่า TamperedChef" พร้อมเสริมว่า "มัลแวร์ตัวนี้ถูกออกแบบมาเพื่อเก็บเกี่ยวข้อมูลที่ละเอียดอ่อน รวมถึงข้อมูลประจำตัว (Credentials) และคุกกี้ของเว็บเบราว์เซอร์"
กลลวงที่แนบเนียน
หัวใจของแคมเปญนี้คือการใช้เว็บไซต์ปลอมหลายแห่งเพื่อโปรโมตโปรแกรมติดตั้ง PDF Editor ฟรีที่ชื่อว่า 'AppSuite PDF Editor' เมื่อผู้ใช้ทำการติดตั้งและเปิดใช้งาน โปรแกรมจะแสดงหน้าต่างให้ยอมรับข้อกำหนดในการให้บริการและนโยบายความเป็นส่วนตัวตามปกติ ทำให้ดูน่าเชื่อถือ
แต่เบื้องหลังนั้น โปรแกรมติดตั้งจะแอบส่งคำขอไปยังเซิร์ฟเวอร์ภายนอกเพื่อดาวน์โหลดโปรแกรม PDF Editor ตัวจริง พร้อมทั้งสร้างการคงอยู่ (Persistence) บนเครื่องคอมพิวเตอร์ของเหยื่อ โดยการแก้ไข Windows Registry เพื่อให้แน่ใจว่ามัลแวร์ที่ดาวน์โหลดมาจะถูกเรียกใช้งานโดยอัตโนมัติทุกครั้งที่รีบูตเครื่อง
บริษัท G DATA ซึ่งเป็นบริษัทความปลอดภัยไซเบอร์จากเยอรมนี ได้วิเคราะห์กิจกรรมนี้เช่นกัน และพบว่าเว็บไซต์ปลอมต่างๆ ที่นำเสนอโปรแกรมแก้ไข PDF เหล่านี้ จะให้ผู้ใช้ดาวน์โหลดโปรแกรมติดตั้งตัวเดียวกัน ซึ่งจะเริ่มดาวน์โหลดมัลแวร์ทันทีที่ผู้ใช้กดยอมรับข้อตกลงใบอนุญาต
แฝงตัวรอเวลา ก่อนเริ่มโจมตี
คาดว่าแคมเปญนี้เริ่มต้นขึ้นเมื่อวันที่ 26 มิถุนายน 2568 ซึ่งเป็นช่วงที่เว็บไซต์ปลอมจำนวนมากถูกจดทะเบียนและเริ่มยิงโฆษณาผ่าน Google Ads
ในช่วงแรก โปรแกรม PDF ดังกล่าวดูเหมือนจะไม่มีพิษภัย แต่โค้ดภายในถูกตั้งโปรแกรมให้ตรวจสอบการอัปเดตจากเซิร์ฟเวอร์เป็นประจำ จนกระทั่งตั้งแต่วันที่ 21 สิงหาคม 2568 เป็นต้นมา เครื่องคอมพิวเตอร์ที่ติดต่อกลับไปยังเซิร์ฟเวอร์ได้รับคำสั่งใหม่ ซึ่งเป็นการเปิดใช้งานความสามารถที่เป็นอันตราย นั่นคือฟังก์ชันขโมยข้อมูลของ 'TamperedChef'
เมื่อถูกเปิดใช้งาน มัลแวร์จะเริ่มรวบรวมรายชื่อโปรแกรมความปลอดภัยที่ติดตั้งอยู่ในเครื่อง และพยายามปิดเว็บเบราว์เซอร์ที่กำลังทำงานอยู่ เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลประจำตัวและคุกกี้
เป็นได้มากกว่าแค่ขโมยข้อมูล
จากการวิเคราะห์เพิ่มเติมโดย G DATA พบว่าแอปพลิเคชันที่แฝงมัลแวร์นี้ทำงานเป็น 'ประตูหลัง' (Backdoor) ซึ่งรองรับคำสั่งหลายอย่าง ทำให้ผู้โจมตีสามารถ:
ดาวน์โหลดมัลแวร์เพิ่มเติม: สามารถสั่งให้เครื่องของเหยื่อดาวน์โหลดและติดตั้งมัลแวร์ตัวอื่นๆ ได้อีก
ขโมยข้อมูลเบราว์เซอร์: สามารถดึงข้อมูลจากเบราว์เซอร์ตระกูล Chromium, OneLaunch และ Wave ได้ทั้งหมด ไม่ว่าจะเป็นรหัสผ่าน, ประวัติการเข้าชม, หรือคุกกี้
แก้ไขการตั้งค่าเบราว์เซอร์: สามารถเปลี่ยนแปลงเครื่องมือค้นหา (Search Engine) เริ่มต้นได้
ควบคุมเครื่องจากระยะไกล: สามารถส่งคำสั่งเพื่อจัดการไฟล์, แก้ไข Registry, และขโมยข้อมูลออกจากเครื่องได้
Truesec ตั้งข้อสังเกตว่า ระยะเวลาตั้งแต่เริ่มแคมเปญโฆษณาจนถึงการอัปเดตมัลแวร์นั้นนานถึง 56 วัน ซึ่งใกล้เคียงกับระยะเวลา 60 วันของแคมเปญโฆษณาบน Google ทั่วไป ชี้ให้เห็นว่าผู้ไม่หวังดีอาจปล่อยให้แคมเปญโฆษณาดำเนินไปจนสุดทางเพื่อเพิ่มจำนวนการดาวน์โหลดให้ได้มากที่สุด ก่อนที่จะเปิดใช้งานฟีเจอร์ที่เป็นอันตราย
"AppSuite PDF Editor เป็นโปรแกรมที่เป็นอันตราย" G DATA สรุป "มันคือม้าโทรจันแบบคลาสสิกที่มีประตูหลัง และกำลังถูกดาวน์โหลดอย่างมหาศาลในขณะนี้"
ดังนั้น ผู้ใช้งานควรระมัดระวังในการดาวน์โหลดซอฟต์แวร์ฟรีจากแหล่งที่ไม่น่าเชื่อถือ โดยเฉพาะโปรแกรมที่พบเห็นผ่านโฆษณา และควรติดตั้งจากเว็บไซต์ของผู้พัฒนาโดยตรงเท่านั้น
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก