เตือนภัย! มัลแวร์ .NET ตัวใหม่ 'CAPI Backdoor' อาละวาดหนัก โจมตีบริษัทรถยนต์-อีคอมเมิร์ซในรัสเซีย ผ่านไฟล์ ZIP ลวง

Published:

นักวิจัยความมั่นคงปลอดภัยไซเบอร์ออกมาเตือนครับ ว่าตอนนี้มีแคมเปญโจมตีใหม่ที่พุ่งเป้าไปที่กลุ่มธุรกิจรถยนต์และอีคอมเมิร์ซในประเทศรัสเซีย โดยใช้มัลแวร์ .NET ที่ไม่เคยมีใครเจอมาก่อน ชื่อว่า "CAPI Backdoor"

รายงานจาก Seqrite Labs (บริษัทวิจัยด้านความปลอดภัย) ระบุว่า "ห่วงโซ่การโจมตี" (attack chain) นี้ เริ่มต้นง่ายๆ เลยครับ คือการส่งอีเมลฟิชชิ่ง (Phishing) ที่แนบไฟล์ ZIP มาล่อให้เหยื่อเปิด ทางบริษัทไปเจอตัวอย่างไฟล์ ZIP นี้บนแพลตฟอร์ม VirusTotal เมื่อวันที่ 3 ตุลาคม 2025 ที่ผ่านมา

พอเปิดไฟล์ ZIP เจ้ากรรมนี้ออกมา ก็จะเจอกับไฟล์ 2 ตัวครับ:

  1. เอกสารบังหน้าภาษารัสเซีย ที่ทำทีว่าเป็นประกาศเรื่องกฎหมายภาษีเงินได้

  2. ไฟล์ทางลัดของ Windows (ไฟล์ .LNK)

ไอ้เจ้าไฟล์ LNK นี่แหละครับคือตัวแสบ มันไม่ได้เปิดเอกสารเฉยๆ แต่มันถูกสร้างมาเพื่อสั่งรันมัลแวร์ .NET ที่ซ่อนอยู่ (ชื่อไฟล์ "adobe.dll") โดยอาศัยเครื่องมือของ Microsoft ที่มีอยู่ในเครื่องทุกเครื่องอย่าง "rundll32.exe" ในการรัน

นักวิจัยเรียกเทคนิคนี้ว่า "living-off-the-land" (LotL) หรือแปลแบบป๋าๆ ก็คือ "โจรอาศัยของในบ้าน" ครับ คือใช้เครื่องมือที่ถูกกฎหมายในเครื่องของเรา มาทำเรื่องผิดกฎหมายซะเอง

CAPI Backdoor ทำอะไรได้บ้าง?

Seqrite บอกว่า พอ "CAPI Backdoor" เริ่มทำงานปุ๊บ มันจะเช็กก่อนเลยว่าตัวเองได้สิทธิ์แอดมิน (สิทธิ์สูงสุดในเครื่อง) หรือเปล่า จากนั้นก็ไล่ดูว่าเราติดตั้งโปรแกรมแอนตี้ไวรัสอะไรไว้บ้าง แล้วมันก็จะรีบเปิดเอกสารปลอม (เรื่องภาษี) ขึ้นมาบังหน้าเราไว้ เพื่อให้เราตายใจครับ

ในขณะเดียวกัน หลังบ้านมันก็แอบเชื่อมต่อไปยังเซิร์ฟเวอร์ควบคุมของแฮกเกอร์ (ที่อยู่ 91.223.75[.]96) เพื่อรอรับคำสั่ง

คำสั่งที่ว่านี้ก็ไม่ใช่ธรรมดาครับ มันสั่งให้ CAPI Backdoor ทำได้หลายอย่างเลย:

  • ขโมยข้อมูลจากเว็บเบราว์เซอร์ดังๆ (Google Chrome, Microsoft Edge, Mozilla Firefox)

  • แอบจับภาพหน้าจอ (Screenshots)

  • รวบรวมข้อมูลของระบบเครื่องคอมพิวเตอร์

  • ไล่ดูว่าในโฟลเดอร์ต่างๆ มีไฟล์อะไรบ้าง

  • แล้วก็ส่งข้อมูลทั้งหมดที่ขโมยมาได้กลับไปให้แฮกเกอร์

มันพยายาม "ฝังตัว" ถาวรในเครื่อง

ที่ร้ายกว่านั้น มันยังพยายามเช็กด้วยว่ากำลังรันอยู่บนเครื่องจริง หรือเครื่องจำลอง (Virtual Machine) เพื่อหลบการตรวจจับของนักวิจัย

และมันยังใช้วิธีถึง 2 อย่างเพื่อ "ฝังตัว" ถาวรในเครื่องเราครับ:

  1. การสร้าง Scheduled Task (ตั้งเวลางาน)

  2. การสร้างไฟล์ LNK (เหมือนตัวที่ใช้โจมตี) ไปวางไว้ในโฟลเดอร์ Startup ของ Windows เพื่อให้มัลแวร์ตัวนี้รันอัตโนมัติทุกครั้งที่เราเปิดเครื่อง

ทำไมถึงคิดว่าเป้าหมายคือรัสเซีย?

ที่ Seqrite ค่อนข้างมั่นใจว่าเป้าหมายคือภาคยานยนต์ของรัสเซีย ก็เพราะหนึ่งในโดเมนที่แคมเปญนี้ใช้ มีชื่อว่า "carprlce[.]ru" (ใช้ตัว 'l' เล็กแทน 'i') ซึ่งจงใจตั้งชื่อเลียนแบบเว็บ "carprice[.]ru" ซึ่งเป็นเว็บซื้อขายรถยนต์ที่ถูกกฎหมายในรัสเซียครับ

นักวิจัย (คุณ Priya Patel และ Subhajeet Singha) สรุปปิดท้ายว่า "เพย์โหลดร้ายกาจตัวนี้เป็นไฟล์ .NET DLL ที่ทำหน้าที่เป็นตัวขโมยข้อมูล (stealer) และสร้างฐานที่มั่นถาวรในเครื่องเพื่อรอการโจมตีในอนาคต"

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก

Tags:

คุณอาจจะชอบ

ดูทั้งหมด
ใหม่กว่า เก่ากว่า
แชร์กับแอปอื่นๆ
คัดลอก ลิงค์ไปยังโพสต์