คุณลองจินตนาการว่าคุณเป็น Dev หรือ sysadmin ที่ต้องรีบหา PuTTY หรือ WinSCP เพื่อเชื่อมเครื่องระยะไกล → คุณเสิร์ชใน Google → เจอเว็บโหลดที่ดู “เหมือนเป๊ะ” กับเว็บจริง ทั้งโลโก้ ปุ่ม โหลด แม้แต่ไฟล์ที่ได้มาก็ดูทำงานได้ → แต่ความจริงคือ…คุณเพิ่งโหลดมัลแวร์ Oyster ลงเครื่อง!
มัลแวร์ตัวนี้ไม่ใช่แค่หลอกเฉย ๆ → มันติดตั้ง backdoor ลึกลงในระบบแบบ stealth → สร้าง Scheduled Task รันทุก 3 นาที ผ่าน rundll32.exe → เพื่อ inject DLL (twain_96.dll) → แล้วมันสามารถโหลดมัลแวร์เพิ่มเติมเข้ามาอีกชุดแบบที่คุณไม่รู้ตัว → เทคนิคทั้งหมดนี้ใช้ HTTPS, obfuscation, และการ inject process เพื่อหลบ Antivirus
เว็บปลอมที่พบ เช่น
- updaterputty[.]com
- zephyrhype[.]com
- putty[.]bet
- puttyy[.]org
- และ putty[.]run
งานนี้เกิดจากกลุ่ม Arctic Wolf ที่ตามรอยจนเจอพฤติกรรม SEO Poisoning + Software Spoofing → ซึ่งไม่ได้หยุดแค่ PuTTY/WinSCP เท่านั้น — นักวิจัยเตือนว่าเครื่องมืออื่น ๆ อาจโดนแบบเดียวกัน
กลุ่มแฮกเกอร์ใช้กลยุทธ์ SEO poisoning → ดันเว็บปลอมขึ้น Google Search
• เว็บเหล่านี้เลียนแบบหน้าดาวน์โหลดของเครื่องมือยอดนิยม (เช่น PuTTY, WinSCP)
• เมื่อลงไฟล์แล้ว ระบบจะติดมัลแวร์ชื่อ Oyster
Oyster (หรือ Broomstick/CleanUpLoader) คือมัลแวร์โหลดขั้นแรก
• ติดตั้งโดย inject DLL และตั้ง Scheduled Task รันทุก 3 นาที
• ทำให้เครื่องพร้อมสำหรับโหลด payload ระยะต่อไปแบบลับ ๆ
ใช้เทคนิคหลบการตรวจจับ เช่น:
• process injection, obfuscation, C2 ผ่าน HTTPS
• ช่วยให้ระบบความปลอดภัยทั่วไปตรวจจับยากขึ้น
Arctic Wolf พบเว็บปลอมหลายแห่งที่ใช้เทคนิคเดียวกัน → เตือนว่าอาจมีเครื่องมืออื่นตกเป็นเหยื่อในอนาคต
https://www.techradar.com/pro/security/be-careful-where-you-click-in-google-search-results-it-could-be-damaging-malware
มัลแวร์ตัวนี้ไม่ใช่แค่หลอกเฉย ๆ → มันติดตั้ง backdoor ลึกลงในระบบแบบ stealth → สร้าง Scheduled Task รันทุก 3 นาที ผ่าน rundll32.exe → เพื่อ inject DLL (twain_96.dll) → แล้วมันสามารถโหลดมัลแวร์เพิ่มเติมเข้ามาอีกชุดแบบที่คุณไม่รู้ตัว → เทคนิคทั้งหมดนี้ใช้ HTTPS, obfuscation, และการ inject process เพื่อหลบ Antivirus
เว็บปลอมที่พบ เช่น
- updaterputty[.]com
- zephyrhype[.]com
- putty[.]bet
- puttyy[.]org
- และ putty[.]run
งานนี้เกิดจากกลุ่ม Arctic Wolf ที่ตามรอยจนเจอพฤติกรรม SEO Poisoning + Software Spoofing → ซึ่งไม่ได้หยุดแค่ PuTTY/WinSCP เท่านั้น — นักวิจัยเตือนว่าเครื่องมืออื่น ๆ อาจโดนแบบเดียวกัน
กลุ่มแฮกเกอร์ใช้กลยุทธ์ SEO poisoning → ดันเว็บปลอมขึ้น Google Search
• เว็บเหล่านี้เลียนแบบหน้าดาวน์โหลดของเครื่องมือยอดนิยม (เช่น PuTTY, WinSCP)
• เมื่อลงไฟล์แล้ว ระบบจะติดมัลแวร์ชื่อ Oyster
Oyster (หรือ Broomstick/CleanUpLoader) คือมัลแวร์โหลดขั้นแรก
• ติดตั้งโดย inject DLL และตั้ง Scheduled Task รันทุก 3 นาที
• ทำให้เครื่องพร้อมสำหรับโหลด payload ระยะต่อไปแบบลับ ๆ
ใช้เทคนิคหลบการตรวจจับ เช่น:
• process injection, obfuscation, C2 ผ่าน HTTPS
• ช่วยให้ระบบความปลอดภัยทั่วไปตรวจจับยากขึ้น
Arctic Wolf พบเว็บปลอมหลายแห่งที่ใช้เทคนิคเดียวกัน → เตือนว่าอาจมีเครื่องมืออื่นตกเป็นเหยื่อในอนาคต
https://www.techradar.com/pro/security/be-careful-where-you-click-in-google-search-results-it-could-be-damaging-malware
คุณลองจินตนาการว่าคุณเป็น Dev หรือ sysadmin ที่ต้องรีบหา PuTTY หรือ WinSCP เพื่อเชื่อมเครื่องระยะไกล → คุณเสิร์ชใน Google → เจอเว็บโหลดที่ดู “เหมือนเป๊ะ” กับเว็บจริง ทั้งโลโก้ ปุ่ม โหลด แม้แต่ไฟล์ที่ได้มาก็ดูทำงานได้ → แต่ความจริงคือ…คุณเพิ่งโหลดมัลแวร์ Oyster ลงเครื่อง!
มัลแวร์ตัวนี้ไม่ใช่แค่หลอกเฉย ๆ → มันติดตั้ง backdoor ลึกลงในระบบแบบ stealth → สร้าง Scheduled Task รันทุก 3 นาที ผ่าน rundll32.exe → เพื่อ inject DLL (twain_96.dll) → แล้วมันสามารถโหลดมัลแวร์เพิ่มเติมเข้ามาอีกชุดแบบที่คุณไม่รู้ตัว → เทคนิคทั้งหมดนี้ใช้ HTTPS, obfuscation, และการ inject process เพื่อหลบ Antivirus
เว็บปลอมที่พบ เช่น
- updaterputty[.]com
- zephyrhype[.]com
- putty[.]bet
- puttyy[.]org
- และ putty[.]run
งานนี้เกิดจากกลุ่ม Arctic Wolf ที่ตามรอยจนเจอพฤติกรรม SEO Poisoning + Software Spoofing → ซึ่งไม่ได้หยุดแค่ PuTTY/WinSCP เท่านั้น — นักวิจัยเตือนว่าเครื่องมืออื่น ๆ อาจโดนแบบเดียวกัน
✅ กลุ่มแฮกเกอร์ใช้กลยุทธ์ SEO poisoning → ดันเว็บปลอมขึ้น Google Search
• เว็บเหล่านี้เลียนแบบหน้าดาวน์โหลดของเครื่องมือยอดนิยม (เช่น PuTTY, WinSCP)
• เมื่อลงไฟล์แล้ว ระบบจะติดมัลแวร์ชื่อ Oyster
✅ Oyster (หรือ Broomstick/CleanUpLoader) คือมัลแวร์โหลดขั้นแรก
• ติดตั้งโดย inject DLL และตั้ง Scheduled Task รันทุก 3 นาที
• ทำให้เครื่องพร้อมสำหรับโหลด payload ระยะต่อไปแบบลับ ๆ
✅ ใช้เทคนิคหลบการตรวจจับ เช่น:
• process injection, obfuscation, C2 ผ่าน HTTPS
• ช่วยให้ระบบความปลอดภัยทั่วไปตรวจจับยากขึ้น
✅ Arctic Wolf พบเว็บปลอมหลายแห่งที่ใช้เทคนิคเดียวกัน → เตือนว่าอาจมีเครื่องมืออื่นตกเป็นเหยื่อในอนาคต
https://www.techradar.com/pro/security/be-careful-where-you-click-in-google-search-results-it-could-be-damaging-malware
0 ความคิดเห็น
0 การแบ่งปัน
106 มุมมอง
0 รีวิว
English