นักวิจัยด้านความมั่นคงปลอดภัยทางไซเบอร์จากบริษัท Todyl ตรวจพบมัลแวร์ ClickFix เวอร์ชันใหม่ชื่อ “LightPerlGirl” เมื่อวันที่ 13 มิถุนายน 2025 โดยซ่อนตัวอยู่ในเว็บไซต์ท่องเที่ยวที่ใช้ WordPress ซึ่งถูกแฮก เพื่อใช้ในการโจมตีแบบ “waterholing” หรือการล่อลวงเหยื่อผ่านเว็บไซต์ที่เชื่อถือได้ โดยอาศัยเทคนิคหลอกให้ผู้ใช้เข้าใจผิดว่าเป็นกระบวนการตรวจสอบ CAPTCHA ของ Cloudflare พร้อมแสดงข้อความหลอกลวงว่า “Performance & Security by Cloudflare”
เพื่อหลอกให้เหยื่อกดคีย์ลัด “Windows + R” และ “Ctrl + V” ซึ่งจะเป็นการวางคำสั่ง PowerShell ที่ถูกฝังไว้ใน clipboard แล้วรันคำสั่งโดยอัตโนมัติโดยไม่รู้ตัว
คำสั่ง PowerShell ดังกล่าวถูก obfuscate อย่างซับซ้อนเพื่อหลีกเลี่ยงการตรวจจับจากมนุษย์และซอฟต์แวร์ความปลอดภัยทั่วไป โดยคำสั่งจะเรียกใช้โดเมนที่เป็นเซิร์ฟเวอร์ควบคุมจากระยะไกล (C2) เพื่อดึงมัลแวร์ตัวจริงเข้ามาทำงาน ซึ่งในกรณีนี้คือ “Lumma infostealer” ที่ถูกออกแบบมาเพื่อขโมยข้อมูลส่วนตัวของผู้ใช้ โดยเฉพาะรหัสผ่าน และข้อมูลเข้าถึงเครือข่ายองค์กร ทั้งนี้นักวิจัยระบุว่า ClickFix ใช้เทคนิค “Living off the Land Binaries” (LOLBINS) ซึ่งอาศัยโปรแกรมที่มีอยู่ในระบบปฏิบัติการ เช่น PowerShell เพื่อดำเนินการโจมตีแบบไม่ต้องติดตั้งโปรแกรมแปลกปลอมเพิ่มเติม ทำให้ตรวจจับได้ยากยิ่งขึ้น
ที่น่าสนใจคือมัลแวร์เวอร์ชันใหม่นี้ถูกตั้งชื่อว่า “LightPerlGirl” ตามชื่อที่ปรากฏในประกาศลิขสิทธิ์ภายในโค้ดของมัลแวร์ นักวิจัยยังไม่สามารถระบุได้แน่ชัดว่า ผู้พัฒนา ClickFix รายใหม่นี้เป็นผู้เดียวกับผู้อยู่เบื้องหลัง Lumma หรือเป็นผู้ให้บริการในตลาดมัลแวร์คนละกลุ่ม แต่ความจริงที่ว่ามัลแวร์สามารถเจาะเข้าเครื่องผู้ใช้งานตามบ้านที่ไม่มีระบบป้องกันระดับองค์กรได้โดยง่าย อาจทำให้ข้อมูลของผู้บริหารหรือพนักงานระดับสูงถูกลักลอบนำไปใช้เพื่อเข้าถึงเครือข่ายขององค์กรขนาดใหญ่ในภายหลัง ซึ่งเป็นความเสี่ยงสำคัญที่หน่วยงานด้านความมั่นคงควรเฝ้าระวังอย่างใกล้ชิดในระยะนี้
ที่มา : thaicert / วันที่เผยแพร่ 19 มิถุนายน 2568
Link : https://www.thaicert.or.th/2025/06/19/พบมัลแวร์-clickfix-เวอร์ชันใหม่/
