เรื่องเล่าจากข่าว: เมื่อไฟล์ลัดกลายเป็นประตูหลัง—REMCOS RAT แฝงตัวผ่าน LNK และ PowerShell โดยไม่ทิ้งร่องรอย
ทีมวิจัย Lat61 จากบริษัท Point Wild ได้เปิดเผยแคมเปญมัลแวร์หลายขั้นตอนที่ใช้ไฟล์ลัด Windows (.lnk) เป็นตัวเปิดทางให้ REMCOS RAT เข้าสู่ระบบของเหยื่อ โดยเริ่มจากไฟล์ที่ดูเหมือนไม่มีพิษภัย เช่น “ORDINE-DI-ACQUIST-7263535.lnk” ซึ่งเมื่อคลิกแล้วจะรันคำสั่ง PowerShell แบบลับ ๆ เพื่อดาวน์โหลด payload ที่ถูกเข้ารหัสแบบ Base64 จากเซิร์ฟเวอร์ภายนอก
หลังจากถอดรหัสแล้ว payload จะถูกเปิดใช้งานในรูปแบบไฟล์ .PIF ที่ปลอมเป็น CHROME.PIF เพื่อหลอกว่าเป็นโปรแกรมจริง ก่อนจะติดตั้ง REMCOS RAT ซึ่งสามารถควบคุมคอมพิวเตอร์ได้เต็มรูปแบบ—ตั้งแต่ keylogging, เปิดกล้อง, ไปจนถึงการสร้าง shell ระยะไกล
แคมเปญนี้ยังใช้เทคนิคหลบเลี่ยงการตรวจจับ เช่น ไม่ใช้ไฟล์บนดิสก์, ไม่ใช้ macro, และไม่แสดงคำเตือนใด ๆ ทำให้ผู้ใช้ทั่วไปแทบไม่รู้ตัวว่าโดนโจมตี
แคมเปญมัลแวร์ใหม่ใช้ไฟล์ลัด Windows (.lnk) เป็นช่องทางติดตั้ง REMCOS RAT
ไฟล์ลัดปลอมเป็นเอกสารหรือโปรแกรม เช่น “ORDINE-DI-ACQUIST…”
เมื่อคลิกจะรัน PowerShell แบบลับ ๆ
PowerShell ถูกใช้เพื่อดาวน์โหลด payload ที่ถูกเข้ารหัสแบบ Base64 จากเซิร์ฟเวอร์ภายนอก
ไม่ใช้ไฟล์บนดิสก์หรือ macro ทำให้หลบการตรวจจับได้
payload ถูกเปิดใช้งานในรูปแบบไฟล์ .PIF ปลอมชื่อเป็น CHROME.PIF
REMCOS RAT ให้ผู้โจมตีควบคุมระบบได้เต็มรูปแบบ
keylogging, เปิดกล้อง, สร้าง shell ระยะไกล, เข้าถึงไฟล์
สร้าง log file ใน %ProgramData% เพื่อเก็บข้อมูลการกดแป้นพิมพ์
เซิร์ฟเวอร์ควบคุม (C2) ของแคมเปญนี้อยู่ในสหรัฐฯ และโรมาเนีย
แสดงให้เห็นว่าการโจมตีสามารถมาจากหลายประเทศ
ใช้โครงสร้างแบบกระจายเพื่อหลบการติดตาม
ไฟล์ลัดไม่แสดงคำเตือน macro และสามารถหลอกผู้ใช้ได้ง่าย
Windows ซ่อนนามสกุลไฟล์โดยค่าเริ่มต้น
ไฟล์ .lnk อาจดูเหมือน .pdf หรือ .docx.
ไฟล์ลัด (.lnk) สามารถรันคำสั่งอันตรายได้โดยไม่ต้องใช้ macro หรือไฟล์ .exe
ผู้ใช้มักเข้าใจผิดว่าเป็นไฟล์เอกสาร
ไม่มีการแจ้งเตือนจากระบบความปลอดภัยของ Office
REMCOS RAT สามารถทำงานแบบ fileless โดยไม่ทิ้งร่องรอยบนดิสก์
ยากต่อการตรวจจับด้วย antivirus แบบดั้งเดิม
ต้องใช้ระบบป้องกันแบบ real-time และ behavioral analysis
การปลอมชื่อไฟล์และไอคอนทำให้ผู้ใช้หลงเชื่อว่าเป็นไฟล์จริง
Windows ซ่อนนามสกุลไฟล์โดยค่าเริ่มต้น
ไฟล์ .lnk อาจดูเหมือน “Invoice.pdf” ทั้งที่เป็น shortcut
การเปิดไฟล์จากอีเมลหรือเครือข่ายที่ไม่ปลอดภัยอาจนำไปสู่การติดมัลแวร์ทันที
ไม่ควรเปิดไฟล์แนบจากผู้ส่งที่ไม่รู้จัก
ควรใช้ sandbox หรือระบบแยกเพื่อทดสอบไฟล์ก่อนเปิด
https://hackread.com/attack-windows-shortcut-files-install-remcos-backdoor/
ทีมวิจัย Lat61 จากบริษัท Point Wild ได้เปิดเผยแคมเปญมัลแวร์หลายขั้นตอนที่ใช้ไฟล์ลัด Windows (.lnk) เป็นตัวเปิดทางให้ REMCOS RAT เข้าสู่ระบบของเหยื่อ โดยเริ่มจากไฟล์ที่ดูเหมือนไม่มีพิษภัย เช่น “ORDINE-DI-ACQUIST-7263535.lnk” ซึ่งเมื่อคลิกแล้วจะรันคำสั่ง PowerShell แบบลับ ๆ เพื่อดาวน์โหลด payload ที่ถูกเข้ารหัสแบบ Base64 จากเซิร์ฟเวอร์ภายนอก
หลังจากถอดรหัสแล้ว payload จะถูกเปิดใช้งานในรูปแบบไฟล์ .PIF ที่ปลอมเป็น CHROME.PIF เพื่อหลอกว่าเป็นโปรแกรมจริง ก่อนจะติดตั้ง REMCOS RAT ซึ่งสามารถควบคุมคอมพิวเตอร์ได้เต็มรูปแบบ—ตั้งแต่ keylogging, เปิดกล้อง, ไปจนถึงการสร้าง shell ระยะไกล
แคมเปญนี้ยังใช้เทคนิคหลบเลี่ยงการตรวจจับ เช่น ไม่ใช้ไฟล์บนดิสก์, ไม่ใช้ macro, และไม่แสดงคำเตือนใด ๆ ทำให้ผู้ใช้ทั่วไปแทบไม่รู้ตัวว่าโดนโจมตี
แคมเปญมัลแวร์ใหม่ใช้ไฟล์ลัด Windows (.lnk) เป็นช่องทางติดตั้ง REMCOS RAT
ไฟล์ลัดปลอมเป็นเอกสารหรือโปรแกรม เช่น “ORDINE-DI-ACQUIST…”
เมื่อคลิกจะรัน PowerShell แบบลับ ๆ
PowerShell ถูกใช้เพื่อดาวน์โหลด payload ที่ถูกเข้ารหัสแบบ Base64 จากเซิร์ฟเวอร์ภายนอก
ไม่ใช้ไฟล์บนดิสก์หรือ macro ทำให้หลบการตรวจจับได้
payload ถูกเปิดใช้งานในรูปแบบไฟล์ .PIF ปลอมชื่อเป็น CHROME.PIF
REMCOS RAT ให้ผู้โจมตีควบคุมระบบได้เต็มรูปแบบ
keylogging, เปิดกล้อง, สร้าง shell ระยะไกล, เข้าถึงไฟล์
สร้าง log file ใน %ProgramData% เพื่อเก็บข้อมูลการกดแป้นพิมพ์
เซิร์ฟเวอร์ควบคุม (C2) ของแคมเปญนี้อยู่ในสหรัฐฯ และโรมาเนีย
แสดงให้เห็นว่าการโจมตีสามารถมาจากหลายประเทศ
ใช้โครงสร้างแบบกระจายเพื่อหลบการติดตาม
ไฟล์ลัดไม่แสดงคำเตือน macro และสามารถหลอกผู้ใช้ได้ง่าย
Windows ซ่อนนามสกุลไฟล์โดยค่าเริ่มต้น
ไฟล์ .lnk อาจดูเหมือน .pdf หรือ .docx.
ไฟล์ลัด (.lnk) สามารถรันคำสั่งอันตรายได้โดยไม่ต้องใช้ macro หรือไฟล์ .exe
ผู้ใช้มักเข้าใจผิดว่าเป็นไฟล์เอกสาร
ไม่มีการแจ้งเตือนจากระบบความปลอดภัยของ Office
REMCOS RAT สามารถทำงานแบบ fileless โดยไม่ทิ้งร่องรอยบนดิสก์
ยากต่อการตรวจจับด้วย antivirus แบบดั้งเดิม
ต้องใช้ระบบป้องกันแบบ real-time และ behavioral analysis
การปลอมชื่อไฟล์และไอคอนทำให้ผู้ใช้หลงเชื่อว่าเป็นไฟล์จริง
Windows ซ่อนนามสกุลไฟล์โดยค่าเริ่มต้น
ไฟล์ .lnk อาจดูเหมือน “Invoice.pdf” ทั้งที่เป็น shortcut
การเปิดไฟล์จากอีเมลหรือเครือข่ายที่ไม่ปลอดภัยอาจนำไปสู่การติดมัลแวร์ทันที
ไม่ควรเปิดไฟล์แนบจากผู้ส่งที่ไม่รู้จัก
ควรใช้ sandbox หรือระบบแยกเพื่อทดสอบไฟล์ก่อนเปิด
https://hackread.com/attack-windows-shortcut-files-install-remcos-backdoor/
🎙️ เรื่องเล่าจากข่าว: เมื่อไฟล์ลัดกลายเป็นประตูหลัง—REMCOS RAT แฝงตัวผ่าน LNK และ PowerShell โดยไม่ทิ้งร่องรอย
ทีมวิจัย Lat61 จากบริษัท Point Wild ได้เปิดเผยแคมเปญมัลแวร์หลายขั้นตอนที่ใช้ไฟล์ลัด Windows (.lnk) เป็นตัวเปิดทางให้ REMCOS RAT เข้าสู่ระบบของเหยื่อ โดยเริ่มจากไฟล์ที่ดูเหมือนไม่มีพิษภัย เช่น “ORDINE-DI-ACQUIST-7263535.lnk” ซึ่งเมื่อคลิกแล้วจะรันคำสั่ง PowerShell แบบลับ ๆ เพื่อดาวน์โหลด payload ที่ถูกเข้ารหัสแบบ Base64 จากเซิร์ฟเวอร์ภายนอก
หลังจากถอดรหัสแล้ว payload จะถูกเปิดใช้งานในรูปแบบไฟล์ .PIF ที่ปลอมเป็น CHROME.PIF เพื่อหลอกว่าเป็นโปรแกรมจริง ก่อนจะติดตั้ง REMCOS RAT ซึ่งสามารถควบคุมคอมพิวเตอร์ได้เต็มรูปแบบ—ตั้งแต่ keylogging, เปิดกล้อง, ไปจนถึงการสร้าง shell ระยะไกล
แคมเปญนี้ยังใช้เทคนิคหลบเลี่ยงการตรวจจับ เช่น ไม่ใช้ไฟล์บนดิสก์, ไม่ใช้ macro, และไม่แสดงคำเตือนใด ๆ ทำให้ผู้ใช้ทั่วไปแทบไม่รู้ตัวว่าโดนโจมตี
✅ แคมเปญมัลแวร์ใหม่ใช้ไฟล์ลัด Windows (.lnk) เป็นช่องทางติดตั้ง REMCOS RAT
➡️ ไฟล์ลัดปลอมเป็นเอกสารหรือโปรแกรม เช่น “ORDINE-DI-ACQUIST…”
➡️ เมื่อคลิกจะรัน PowerShell แบบลับ ๆ
✅ PowerShell ถูกใช้เพื่อดาวน์โหลด payload ที่ถูกเข้ารหัสแบบ Base64 จากเซิร์ฟเวอร์ภายนอก
➡️ ไม่ใช้ไฟล์บนดิสก์หรือ macro ทำให้หลบการตรวจจับได้
➡️ payload ถูกเปิดใช้งานในรูปแบบไฟล์ .PIF ปลอมชื่อเป็น CHROME.PIF
✅ REMCOS RAT ให้ผู้โจมตีควบคุมระบบได้เต็มรูปแบบ
➡️ keylogging, เปิดกล้อง, สร้าง shell ระยะไกล, เข้าถึงไฟล์
➡️ สร้าง log file ใน %ProgramData% เพื่อเก็บข้อมูลการกดแป้นพิมพ์
✅ เซิร์ฟเวอร์ควบคุม (C2) ของแคมเปญนี้อยู่ในสหรัฐฯ และโรมาเนีย
➡️ แสดงให้เห็นว่าการโจมตีสามารถมาจากหลายประเทศ
➡️ ใช้โครงสร้างแบบกระจายเพื่อหลบการติดตาม
✅ ไฟล์ลัดไม่แสดงคำเตือน macro และสามารถหลอกผู้ใช้ได้ง่าย
➡️ Windows ซ่อนนามสกุลไฟล์โดยค่าเริ่มต้น
➡️ ไฟล์ .lnk อาจดูเหมือน .pdf หรือ .docx.
‼️ ไฟล์ลัด (.lnk) สามารถรันคำสั่งอันตรายได้โดยไม่ต้องใช้ macro หรือไฟล์ .exe
⛔ ผู้ใช้มักเข้าใจผิดว่าเป็นไฟล์เอกสาร
⛔ ไม่มีการแจ้งเตือนจากระบบความปลอดภัยของ Office
‼️ REMCOS RAT สามารถทำงานแบบ fileless โดยไม่ทิ้งร่องรอยบนดิสก์
⛔ ยากต่อการตรวจจับด้วย antivirus แบบดั้งเดิม
⛔ ต้องใช้ระบบป้องกันแบบ real-time และ behavioral analysis
‼️ การปลอมชื่อไฟล์และไอคอนทำให้ผู้ใช้หลงเชื่อว่าเป็นไฟล์จริง
⛔ Windows ซ่อนนามสกุลไฟล์โดยค่าเริ่มต้น
⛔ ไฟล์ .lnk อาจดูเหมือน “Invoice.pdf” ทั้งที่เป็น shortcut
‼️ การเปิดไฟล์จากอีเมลหรือเครือข่ายที่ไม่ปลอดภัยอาจนำไปสู่การติดมัลแวร์ทันที
⛔ ไม่ควรเปิดไฟล์แนบจากผู้ส่งที่ไม่รู้จัก
⛔ ควรใช้ sandbox หรือระบบแยกเพื่อทดสอบไฟล์ก่อนเปิด
https://hackread.com/attack-windows-shortcut-files-install-remcos-backdoor/
0 Comments
0 Shares
28 Views
0 Reviews
Thai