Kaspersky แฉแคมเปญจารกรรม ForumTroll ใช้ช่องโหว่ Chrome Zero-Day ส่งสปายแวร์ Dante จาก Memento Labs
นักวิจัยจาก Kaspersky เปิดเผยแคมเปญจารกรรมไซเบอร์ระดับสูงชื่อว่า “Operation ForumTroll” ซึ่งใช้ช่องโหว่ Zero-Day ใน Google Chrome (CVE-2025-2783) เพื่อส่งสปายแวร์ LeetAgent และ Dante ที่เชื่อมโยงกับบริษัท Memento Labs จากอิตาลี โดยแค่ “คลิกเปิดเว็บไซต์” ก็สามารถถูกติดมัลแวร์ได้ทันที
วิธีการโจมตีและเทคนิคที่ใช้
เริ่มต้นด้วยอีเมลฟิชชิ่งที่ปลอมเป็นคำเชิญเข้าร่วมงาน Primakov Readings พร้อมลิงก์เฉพาะบุคคล
เมื่อเหยื่อเปิดลิงก์ผ่าน Chrome หรือเบราว์เซอร์ที่ใช้ Chromium จะถูกโจมตีทันทีโดยไม่ต้องคลิกเพิ่มเติม
ช่องโหว่ CVE-2025-2783 ใช้จุดอ่อนของ Windows API (pseudo-handle -2) เพื่อหลบหลีก sandbox ของ Chrome
หลังจากหลบ sandbox ได้แล้ว จะมีการโหลดสคริปต์ตรวจสอบผู้ใช้จริงผ่าน WebGPU และถอดรหัส payload ที่ซ่อนในไฟล์ JavaScript และฟอนต์ปลอม
ใช้เทคนิค COM hijacking เพื่อฝัง DLL อันตรายลงในระบบ
โหลด LeetAgent ซึ่งสามารถสั่งงานจากระยะไกล, keylogging, และขโมยไฟล์ .doc, .xls, .pdf, .pptx
สื่อสารกับเซิร์ฟเวอร์ควบคุมผ่าน HTTPS โดยใช้ CDN ของ Fastly เพื่อหลบการตรวจจับ
พบว่า LeetAgent เป็นตัวนำส่ง Dante ซึ่งเป็นสปายแวร์เชิงพาณิชย์ที่พัฒนาโดย Memento Labs (อดีต Hacking Team)
ข้อมูลสำคัญจากข่าว
ช่องโหว่ CVE-2025-2783 เป็นช่องโหว่แบบ sandbox escape ใน Chrome
ใช้ Windows API ที่ไม่ถูกตรวจสอบอย่างเหมาะสมในการหลบ sandbox
แคมเปญ ForumTroll ใช้อีเมลฟิชชิ่งที่เขียนภาษารัสเซียอย่างแนบเนียน
โหลด LeetAgent และ Dante ซึ่งเป็นสปายแวร์ที่มีความสามารถสูง
Dante ใช้เทคนิค VMProtect, anti-debugging, anti-sandbox และโมดูลแบบแยกส่วน
การตั้งชื่อ “Dante” อาจสื่อถึง “วงนรก” ที่นักวิเคราะห์มัลแวร์ต้องผ่านในการวิเคราะห์
เป้าหมายของการโจมตี
สื่อ, มหาวิทยาลัย, หน่วยงานรัฐ, สถาบันการเงินในรัสเซียและเบลารุส
ใช้ลิงก์เฉพาะบุคคลเพื่อติดตามและหลบการตรวจจับ
แสดงความเชี่ยวชาญด้านภาษาและวัฒนธรรมในภูมิภาคเป้าหมาย
https://securityonline.info/kaspersky-exposes-chrome-zero-day-rce-cve-2025-2783-delivering-memento-labs-spyware-in-forumtroll-campaign/
นักวิจัยจาก Kaspersky เปิดเผยแคมเปญจารกรรมไซเบอร์ระดับสูงชื่อว่า “Operation ForumTroll” ซึ่งใช้ช่องโหว่ Zero-Day ใน Google Chrome (CVE-2025-2783) เพื่อส่งสปายแวร์ LeetAgent และ Dante ที่เชื่อมโยงกับบริษัท Memento Labs จากอิตาลี โดยแค่ “คลิกเปิดเว็บไซต์” ก็สามารถถูกติดมัลแวร์ได้ทันที
วิธีการโจมตีและเทคนิคที่ใช้
เริ่มต้นด้วยอีเมลฟิชชิ่งที่ปลอมเป็นคำเชิญเข้าร่วมงาน Primakov Readings พร้อมลิงก์เฉพาะบุคคล
เมื่อเหยื่อเปิดลิงก์ผ่าน Chrome หรือเบราว์เซอร์ที่ใช้ Chromium จะถูกโจมตีทันทีโดยไม่ต้องคลิกเพิ่มเติม
ช่องโหว่ CVE-2025-2783 ใช้จุดอ่อนของ Windows API (pseudo-handle -2) เพื่อหลบหลีก sandbox ของ Chrome
หลังจากหลบ sandbox ได้แล้ว จะมีการโหลดสคริปต์ตรวจสอบผู้ใช้จริงผ่าน WebGPU และถอดรหัส payload ที่ซ่อนในไฟล์ JavaScript และฟอนต์ปลอม
ใช้เทคนิค COM hijacking เพื่อฝัง DLL อันตรายลงในระบบ
โหลด LeetAgent ซึ่งสามารถสั่งงานจากระยะไกล, keylogging, และขโมยไฟล์ .doc, .xls, .pdf, .pptx
สื่อสารกับเซิร์ฟเวอร์ควบคุมผ่าน HTTPS โดยใช้ CDN ของ Fastly เพื่อหลบการตรวจจับ
พบว่า LeetAgent เป็นตัวนำส่ง Dante ซึ่งเป็นสปายแวร์เชิงพาณิชย์ที่พัฒนาโดย Memento Labs (อดีต Hacking Team)
ข้อมูลสำคัญจากข่าว
ช่องโหว่ CVE-2025-2783 เป็นช่องโหว่แบบ sandbox escape ใน Chrome
ใช้ Windows API ที่ไม่ถูกตรวจสอบอย่างเหมาะสมในการหลบ sandbox
แคมเปญ ForumTroll ใช้อีเมลฟิชชิ่งที่เขียนภาษารัสเซียอย่างแนบเนียน
โหลด LeetAgent และ Dante ซึ่งเป็นสปายแวร์ที่มีความสามารถสูง
Dante ใช้เทคนิค VMProtect, anti-debugging, anti-sandbox และโมดูลแบบแยกส่วน
การตั้งชื่อ “Dante” อาจสื่อถึง “วงนรก” ที่นักวิเคราะห์มัลแวร์ต้องผ่านในการวิเคราะห์
เป้าหมายของการโจมตี
สื่อ, มหาวิทยาลัย, หน่วยงานรัฐ, สถาบันการเงินในรัสเซียและเบลารุส
ใช้ลิงก์เฉพาะบุคคลเพื่อติดตามและหลบการตรวจจับ
แสดงความเชี่ยวชาญด้านภาษาและวัฒนธรรมในภูมิภาคเป้าหมาย
https://securityonline.info/kaspersky-exposes-chrome-zero-day-rce-cve-2025-2783-delivering-memento-labs-spyware-in-forumtroll-campaign/
🕵️♂️💻 Kaspersky แฉแคมเปญจารกรรม ForumTroll ใช้ช่องโหว่ Chrome Zero-Day ส่งสปายแวร์ Dante จาก Memento Labs
นักวิจัยจาก Kaspersky เปิดเผยแคมเปญจารกรรมไซเบอร์ระดับสูงชื่อว่า “Operation ForumTroll” ซึ่งใช้ช่องโหว่ Zero-Day ใน Google Chrome (CVE-2025-2783) เพื่อส่งสปายแวร์ LeetAgent และ Dante ที่เชื่อมโยงกับบริษัท Memento Labs จากอิตาลี โดยแค่ “คลิกเปิดเว็บไซต์” ก็สามารถถูกติดมัลแวร์ได้ทันที
🔍 วิธีการโจมตีและเทคนิคที่ใช้
💠 เริ่มต้นด้วยอีเมลฟิชชิ่งที่ปลอมเป็นคำเชิญเข้าร่วมงาน Primakov Readings พร้อมลิงก์เฉพาะบุคคล
💠 เมื่อเหยื่อเปิดลิงก์ผ่าน Chrome หรือเบราว์เซอร์ที่ใช้ Chromium จะถูกโจมตีทันทีโดยไม่ต้องคลิกเพิ่มเติม
💠 ช่องโหว่ CVE-2025-2783 ใช้จุดอ่อนของ Windows API (pseudo-handle -2) เพื่อหลบหลีก sandbox ของ Chrome
💠 หลังจากหลบ sandbox ได้แล้ว จะมีการโหลดสคริปต์ตรวจสอบผู้ใช้จริงผ่าน WebGPU และถอดรหัส payload ที่ซ่อนในไฟล์ JavaScript และฟอนต์ปลอม
💠 ใช้เทคนิค COM hijacking เพื่อฝัง DLL อันตรายลงในระบบ
💠 โหลด LeetAgent ซึ่งสามารถสั่งงานจากระยะไกล, keylogging, และขโมยไฟล์ .doc, .xls, .pdf, .pptx
💠 สื่อสารกับเซิร์ฟเวอร์ควบคุมผ่าน HTTPS โดยใช้ CDN ของ Fastly เพื่อหลบการตรวจจับ
💠 พบว่า LeetAgent เป็นตัวนำส่ง Dante ซึ่งเป็นสปายแวร์เชิงพาณิชย์ที่พัฒนาโดย Memento Labs (อดีต Hacking Team)
✅ ข้อมูลสำคัญจากข่าว
➡️ ช่องโหว่ CVE-2025-2783 เป็นช่องโหว่แบบ sandbox escape ใน Chrome
➡️ ใช้ Windows API ที่ไม่ถูกตรวจสอบอย่างเหมาะสมในการหลบ sandbox
➡️ แคมเปญ ForumTroll ใช้อีเมลฟิชชิ่งที่เขียนภาษารัสเซียอย่างแนบเนียน
➡️ โหลด LeetAgent และ Dante ซึ่งเป็นสปายแวร์ที่มีความสามารถสูง
➡️ Dante ใช้เทคนิค VMProtect, anti-debugging, anti-sandbox และโมดูลแบบแยกส่วน
➡️ การตั้งชื่อ “Dante” อาจสื่อถึง “วงนรก” ที่นักวิเคราะห์มัลแวร์ต้องผ่านในการวิเคราะห์
✅ เป้าหมายของการโจมตี
➡️ สื่อ, มหาวิทยาลัย, หน่วยงานรัฐ, สถาบันการเงินในรัสเซียและเบลารุส
➡️ ใช้ลิงก์เฉพาะบุคคลเพื่อติดตามและหลบการตรวจจับ
➡️ แสดงความเชี่ยวชาญด้านภาษาและวัฒนธรรมในภูมิภาคเป้าหมาย
https://securityonline.info/kaspersky-exposes-chrome-zero-day-rce-cve-2025-2783-delivering-memento-labs-spyware-in-forumtroll-campaign/
0 ความคิดเห็น
0 การแบ่งปัน
44 มุมมอง
0 รีวิว
English