“แฮ็กเกอร์ใช้เว็บ WordPress กว่า 14,000 แห่งแพร่มัลแวร์ผ่านบล็อกเชน” — เมื่อ ClickFix และ CLEARSHOT กลายเป็นอาวุธใหม่ในสงครามไซเบอร์
Google Threat Intelligence Group (GTIG) เปิดเผยว่า กลุ่มแฮ็กเกอร์ UNC5142 ได้เจาะระบบเว็บไซต์ WordPress กว่า 14,000 แห่งทั่วโลก เพื่อใช้เป็นฐานปล่อยมัลแวร์ โดยอาศัยเทคนิคใหม่ที่ผสาน JavaScript downloader กับบล็อกเชนสาธารณะเพื่อหลบเลี่ยงการตรวจจับและการปิดระบบ
มัลแวร์ถูกส่งผ่านตัวดาวน์โหลดชื่อ “CLEARSHOT” ซึ่งฝังอยู่ในเว็บไซต์ที่ถูกแฮ็ก และจะดึง payload ระยะที่สองจากบล็อกเชน BNB chain โดยตรง จากนั้นจะโหลดหน้า landing page ที่เรียกว่า “CLEARSHORT” ซึ่งใช้กลยุทธ์ ClickFix หลอกให้เหยื่อคัดลอกคำสั่งไปวางใน Run (Windows) หรือ Terminal (Mac) เพื่อรันมัลแวร์ด้วยตัวเอง
การใช้บล็อกเชนทำให้โครงสร้างพื้นฐานของแฮ็กเกอร์มีความทนทานต่อการตรวจจับและการปิดระบบ เพราะข้อมูลไม่สามารถลบหรือเปลี่ยนแปลงได้ง่ายเหมือนเว็บทั่วไป
แม้กลุ่ม UNC5142 จะหยุดปฏิบัติการในเดือนกรกฎาคม 2025 แต่ GTIG เชื่อว่าพวกเขาอาจยังคงเคลื่อนไหวอยู่ โดยเปลี่ยนเทคนิคให้ซับซ้อนและตรวจจับยากขึ้น
กลุ่ม UNC5142 เจาะระบบเว็บไซต์ WordPress กว่า 14,000 แห่ง
ใช้ช่องโหว่ในปลั๊กอิน, ธีม และฐานข้อมูล
ใช้ JavaScript downloader ชื่อ “CLEARSHOT” เพื่อกระจายมัลแวร์
ดึง payload ระยะที่สองจากบล็อกเชน BNB chain
หน้า landing page “CLEARSHORT” ใช้กลยุทธ์ ClickFix
หลอกให้เหยื่อคัดลอกคำสั่งไปวางใน Run หรือ Terminal
มัลแวร์ถูกโหลดจากเซิร์ฟเวอร์ภายนอกผ่าน Cloudflare .dev
ข้อมูลถูกเข้ารหัสเพื่อหลบเลี่ยงการตรวจจับ
การใช้บล็อกเชนเพิ่มความทนทานต่อการปิดระบบ
เพราะข้อมูลไม่สามารถลบหรือเปลี่ยนแปลงได้ง่าย
GTIG เชื่อว่า UNC5142 ยังไม่เลิกปฏิบัติการจริง
อาจเปลี่ยนเทคนิคเพื่อหลบเลี่ยงการตรวจจับ
https://www.techradar.com/pro/security/thousands-of-web-pages-abused-by-hackers-to-spread-malware
Google Threat Intelligence Group (GTIG) เปิดเผยว่า กลุ่มแฮ็กเกอร์ UNC5142 ได้เจาะระบบเว็บไซต์ WordPress กว่า 14,000 แห่งทั่วโลก เพื่อใช้เป็นฐานปล่อยมัลแวร์ โดยอาศัยเทคนิคใหม่ที่ผสาน JavaScript downloader กับบล็อกเชนสาธารณะเพื่อหลบเลี่ยงการตรวจจับและการปิดระบบ
มัลแวร์ถูกส่งผ่านตัวดาวน์โหลดชื่อ “CLEARSHOT” ซึ่งฝังอยู่ในเว็บไซต์ที่ถูกแฮ็ก และจะดึง payload ระยะที่สองจากบล็อกเชน BNB chain โดยตรง จากนั้นจะโหลดหน้า landing page ที่เรียกว่า “CLEARSHORT” ซึ่งใช้กลยุทธ์ ClickFix หลอกให้เหยื่อคัดลอกคำสั่งไปวางใน Run (Windows) หรือ Terminal (Mac) เพื่อรันมัลแวร์ด้วยตัวเอง
การใช้บล็อกเชนทำให้โครงสร้างพื้นฐานของแฮ็กเกอร์มีความทนทานต่อการตรวจจับและการปิดระบบ เพราะข้อมูลไม่สามารถลบหรือเปลี่ยนแปลงได้ง่ายเหมือนเว็บทั่วไป
แม้กลุ่ม UNC5142 จะหยุดปฏิบัติการในเดือนกรกฎาคม 2025 แต่ GTIG เชื่อว่าพวกเขาอาจยังคงเคลื่อนไหวอยู่ โดยเปลี่ยนเทคนิคให้ซับซ้อนและตรวจจับยากขึ้น
กลุ่ม UNC5142 เจาะระบบเว็บไซต์ WordPress กว่า 14,000 แห่ง
ใช้ช่องโหว่ในปลั๊กอิน, ธีม และฐานข้อมูล
ใช้ JavaScript downloader ชื่อ “CLEARSHOT” เพื่อกระจายมัลแวร์
ดึง payload ระยะที่สองจากบล็อกเชน BNB chain
หน้า landing page “CLEARSHORT” ใช้กลยุทธ์ ClickFix
หลอกให้เหยื่อคัดลอกคำสั่งไปวางใน Run หรือ Terminal
มัลแวร์ถูกโหลดจากเซิร์ฟเวอร์ภายนอกผ่าน Cloudflare .dev
ข้อมูลถูกเข้ารหัสเพื่อหลบเลี่ยงการตรวจจับ
การใช้บล็อกเชนเพิ่มความทนทานต่อการปิดระบบ
เพราะข้อมูลไม่สามารถลบหรือเปลี่ยนแปลงได้ง่าย
GTIG เชื่อว่า UNC5142 ยังไม่เลิกปฏิบัติการจริง
อาจเปลี่ยนเทคนิคเพื่อหลบเลี่ยงการตรวจจับ
https://www.techradar.com/pro/security/thousands-of-web-pages-abused-by-hackers-to-spread-malware
🕷️ “แฮ็กเกอร์ใช้เว็บ WordPress กว่า 14,000 แห่งแพร่มัลแวร์ผ่านบล็อกเชน” — เมื่อ ClickFix และ CLEARSHOT กลายเป็นอาวุธใหม่ในสงครามไซเบอร์
Google Threat Intelligence Group (GTIG) เปิดเผยว่า กลุ่มแฮ็กเกอร์ UNC5142 ได้เจาะระบบเว็บไซต์ WordPress กว่า 14,000 แห่งทั่วโลก เพื่อใช้เป็นฐานปล่อยมัลแวร์ โดยอาศัยเทคนิคใหม่ที่ผสาน JavaScript downloader กับบล็อกเชนสาธารณะเพื่อหลบเลี่ยงการตรวจจับและการปิดระบบ
มัลแวร์ถูกส่งผ่านตัวดาวน์โหลดชื่อ “CLEARSHOT” ซึ่งฝังอยู่ในเว็บไซต์ที่ถูกแฮ็ก และจะดึง payload ระยะที่สองจากบล็อกเชน BNB chain โดยตรง จากนั้นจะโหลดหน้า landing page ที่เรียกว่า “CLEARSHORT” ซึ่งใช้กลยุทธ์ ClickFix หลอกให้เหยื่อคัดลอกคำสั่งไปวางใน Run (Windows) หรือ Terminal (Mac) เพื่อรันมัลแวร์ด้วยตัวเอง
การใช้บล็อกเชนทำให้โครงสร้างพื้นฐานของแฮ็กเกอร์มีความทนทานต่อการตรวจจับและการปิดระบบ เพราะข้อมูลไม่สามารถลบหรือเปลี่ยนแปลงได้ง่ายเหมือนเว็บทั่วไป
แม้กลุ่ม UNC5142 จะหยุดปฏิบัติการในเดือนกรกฎาคม 2025 แต่ GTIG เชื่อว่าพวกเขาอาจยังคงเคลื่อนไหวอยู่ โดยเปลี่ยนเทคนิคให้ซับซ้อนและตรวจจับยากขึ้น
✅ กลุ่ม UNC5142 เจาะระบบเว็บไซต์ WordPress กว่า 14,000 แห่ง
➡️ ใช้ช่องโหว่ในปลั๊กอิน, ธีม และฐานข้อมูล
✅ ใช้ JavaScript downloader ชื่อ “CLEARSHOT” เพื่อกระจายมัลแวร์
➡️ ดึง payload ระยะที่สองจากบล็อกเชน BNB chain
✅ หน้า landing page “CLEARSHORT” ใช้กลยุทธ์ ClickFix
➡️ หลอกให้เหยื่อคัดลอกคำสั่งไปวางใน Run หรือ Terminal
✅ มัลแวร์ถูกโหลดจากเซิร์ฟเวอร์ภายนอกผ่าน Cloudflare .dev
➡️ ข้อมูลถูกเข้ารหัสเพื่อหลบเลี่ยงการตรวจจับ
✅ การใช้บล็อกเชนเพิ่มความทนทานต่อการปิดระบบ
➡️ เพราะข้อมูลไม่สามารถลบหรือเปลี่ยนแปลงได้ง่าย
✅ GTIG เชื่อว่า UNC5142 ยังไม่เลิกปฏิบัติการจริง
➡️ อาจเปลี่ยนเทคนิคเพื่อหลบเลี่ยงการตรวจจับ
https://www.techradar.com/pro/security/thousands-of-web-pages-abused-by-hackers-to-spread-malware
0 Comments
0 Shares
99 Views
0 Reviews
Thai