เตือนภัย! แฮกเกอร์รัสเซียส่ง "CTRL Toolkit" บุกยึดคอมพิวเตอร์ผ่านไฟล์ทางลัด (LNK)

นักวิจัยด้านความปลอดภัยจาก Censys ได้ตรวจพบชุดเครื่องมือเข้าถึงระยะไกล (Remote Access Toolkit) สัญชาติรัสเซียที่อันตรายมาก โดยมักจะแฝงตัวมากับไฟล์ .LNK (Windows Shortcut) ที่ปลอมตัวเนียนๆ ว่าเป็น "โฟลเดอร์เก็บกุญแจส่วนตัว" (Private Key Folder) เพื่อหลอกให้เรากดดับเบิลคลิกนั่นเองครับ

"CTRL Toolkit" มันทำอะไรได้บ้าง?

เครื่องมือตัวนี้ถูกสร้างขึ้นด้วย .NET และมีความสามารถรอบด้านที่น่ากลัว ดังนี้ครับ

• Phishing ขั้นเทพ: เลียนแบบหน้าต่างกรอก PIN ของ Windows Hello ได้เหมือนเป๊ะจนแยกไม่ออก เพื่อขโมยรหัสผ่านเครื่องเรา
• ดักจับคีย์บอร์ด (Keylogging): แอบบันทึกทุกปุ่มที่เราพิมพ์ลงในไฟล์ลับๆ ในเครื่อง
• ยึดระบบ RDP: สามารถรีโมทเข้ามาควบคุมหน้าจอคอมพิวเตอร์เราได้แบบเบ็ดเสร็จ
• อุโมงค์ลับ (Reverse Tunneling): ใช้เทคนิค FRP (Fast Reverse Proxy) เพื่อสร้างทางเชื่อมต่อลับๆ ทำให้โปรแกรมสแกนไวรัสตรวจจับการสื่อสารผ่านเน็ตได้ยากมาก

ขั้นตอนการโจมตี เนียนจนจับยาก

1. เหยื่อหลงเชื่อ: คลิกไฟล์ชื่อ Private Key #kfxm7p9q_yek.lnk เพราะนึกว่าเป็นโฟลเดอร์งาน
2. เริ่มแผนร้าย: สคริปต์ PowerShell จะทำงานเบื้องหลังเพื่อลบร่องรอยการป้องกันเดิมในเครื่องออก
3. สร้างทางเข้า: มันจะสร้าง User ใหม่ในเครื่องเรา แอบตั้งค่า Firewall และสร้างคำสั่งให้ตัวเองทำงานทุกครั้งที่เปิดเครื่อง
4. ขโมยข้อมูล: หน้าต่างปลอมจะเด้งขึ้นมาบอกให้เราใส่ PIN ถ้าใส่ผิดมันจะบอกให้ใส่ใหม่จนกว่าจะถูก และรหัสที่ได้จะถูกส่งไปให้แฮกเกอร์ทันที

จุดที่น่ากลัวที่สุด: แฮกเกอร์รายนี้ฉลาดมากครับ เขาไม่ได้ใช้การส่งข้อมูลแบบปกติที่โปรแกรมแอนตี้ไวรัสทั่วไปจะดักเจอ แต่เขาเชื่อมต่อผ่าน "RDP Session" และใช้ "Named Pipe" ในการสั่งการ ทำให้แทบไม่มีร่องรอยทิ้งไว้ในเครือข่ายเลย

วิธีป้องกันตัวเองเบื้องต้น

• อย่าคลิกไฟล์แปลกหน้า: โดยเฉพาะไฟล์นามสกุล .LNK หรือไฟล์ที่ส่งมาจากแหล่งที่ไม่รู้จัก
• สังเกตความผิดปกติ: หากคอมพิวเตอร์อยู่ดีๆ ก็เด้งให้ใส่ PIN ทั้งที่เราไม่ได้ทำรายการอะไร ให้สงสัยไว้ก่อนเลยว่าโดนเข้าแล้ว
• อัปเดตระบบสม่ำเสมอ: การอัปเดต Windows และซอฟต์แวร์ความปลอดภัยจะช่วยลดช่องโหว่ได้ครับ

ระตัวกันด้วยนะครับ ด้วยความปรารถนาดีครับผม

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก