มัลแวร์ WhatsApp Worm: ล่อด้วย “View Once” ปลอม
นักวิจัยจาก Sophos รายงานการโจมตีที่ซับซ้อนในบราซิล โดยผู้โจมตีส่งข้อความ WhatsApp ที่ดูเหมือน “View Once” พร้อมไฟล์ ZIP แนบมา เมื่อผู้ใช้เปิดไฟล์นั้น จะพบว่าเป็นสคริปต์ VBS หรือ HTA ที่ทำหน้าที่ดาวน์โหลด payload อันตรายเข้าสู่เครื่องคอมพิวเตอร์
กลไกการทำงาน
มัลแวร์ใช้ PowerShell เพื่อดึง payload จากเซิร์ฟเวอร์ควบคุม (C2) โดยในช่วงแรกใช้ IMAP ดึงไฟล์จากบัญชีอีเมลของผู้โจมตี แต่ต่อมาเปลี่ยนเป็นการสื่อสารผ่าน HTTP เพื่อเพิ่มความยืดหยุ่น Payload ที่สองจะใช้ Selenium และ WPPConnect library เพื่อ ขโมย session ของ WhatsApp Web และรายชื่อผู้ติดต่อ จากนั้นแพร่กระจายไฟล์ ZIP อันตรายไปยังเหยื่อรายใหม่
การติดตั้ง Astaroth Banking Trojan
ในขั้นตอนต่อมา มัลแวร์จะปล่อยไฟล์ MSI ที่ติดตั้ง Astaroth Banking Trojan ซึ่งมีความสามารถในการ:
เขียนไฟล์หลายตัวลงดิสก์
สร้าง registry key เพื่อคงอยู่ในระบบ
รันสคริปต์ AutoIt ที่ปลอมเป็นไฟล์ log
เมื่อฝังตัวสำเร็จ มัลแวร์จะเชื่อมต่อกับเซิร์ฟเวอร์ C2 เพื่อขโมยข้อมูลทางการเงินและข้อมูลผู้ใช้ต่อไป
ผลกระทบและความเสี่ยง
แคมเปญนี้มีชื่อว่า STAC3150 และเริ่มต้นตั้งแต่กันยายน 2025 โดยมีผู้ใช้มากกว่า 250 รายในบราซิลที่ได้รับผลกระทบ การโจมตีรูปแบบนี้อันตรายมากเพราะใช้ความเชื่อใจของผู้ใช้ต่อ WhatsApp และฟีเจอร์ “View Once” ที่ควรจะปลอดภัย
สรุปสาระสำคัญและคำเตือน
วิธีการโจมตี
ใช้ข้อความ “View Once” ปลอมใน WhatsApp
แนบไฟล์ ZIP ที่มี VBS/HTA อันตราย
กลไกการแพร่กระจาย
ใช้ PowerShell ดึง payload จาก C2
ขโมย session WhatsApp Web และรายชื่อผู้ติดต่อ
การติดตั้ง Astaroth Trojan
ใช้ไฟล์ MSI ติดตั้งมัลแวร์
สร้าง persistence ผ่าน registry และ AutoIt script
คำเตือน
การเปิดไฟล์ ZIP จาก WhatsApp เสี่ยงต่อการติดมัลแวร์
Session WhatsApp อาจถูกขโมยและใช้แพร่กระจายต่อ
ข้อมูลทางการเงินและบัญชีธนาคารเสี่ยงถูกโจรกรรม
https://securityonline.info/sophisticated-whatsapp-worm-uses-fake-view-once-lure-to-hijack-sessions-and-deploy-astaroth-banking-trojan/
นักวิจัยจาก Sophos รายงานการโจมตีที่ซับซ้อนในบราซิล โดยผู้โจมตีส่งข้อความ WhatsApp ที่ดูเหมือน “View Once” พร้อมไฟล์ ZIP แนบมา เมื่อผู้ใช้เปิดไฟล์นั้น จะพบว่าเป็นสคริปต์ VBS หรือ HTA ที่ทำหน้าที่ดาวน์โหลด payload อันตรายเข้าสู่เครื่องคอมพิวเตอร์
กลไกการทำงาน
มัลแวร์ใช้ PowerShell เพื่อดึง payload จากเซิร์ฟเวอร์ควบคุม (C2) โดยในช่วงแรกใช้ IMAP ดึงไฟล์จากบัญชีอีเมลของผู้โจมตี แต่ต่อมาเปลี่ยนเป็นการสื่อสารผ่าน HTTP เพื่อเพิ่มความยืดหยุ่น Payload ที่สองจะใช้ Selenium และ WPPConnect library เพื่อ ขโมย session ของ WhatsApp Web และรายชื่อผู้ติดต่อ จากนั้นแพร่กระจายไฟล์ ZIP อันตรายไปยังเหยื่อรายใหม่
การติดตั้ง Astaroth Banking Trojan
ในขั้นตอนต่อมา มัลแวร์จะปล่อยไฟล์ MSI ที่ติดตั้ง Astaroth Banking Trojan ซึ่งมีความสามารถในการ:
เขียนไฟล์หลายตัวลงดิสก์
สร้าง registry key เพื่อคงอยู่ในระบบ
รันสคริปต์ AutoIt ที่ปลอมเป็นไฟล์ log
เมื่อฝังตัวสำเร็จ มัลแวร์จะเชื่อมต่อกับเซิร์ฟเวอร์ C2 เพื่อขโมยข้อมูลทางการเงินและข้อมูลผู้ใช้ต่อไป
ผลกระทบและความเสี่ยง
แคมเปญนี้มีชื่อว่า STAC3150 และเริ่มต้นตั้งแต่กันยายน 2025 โดยมีผู้ใช้มากกว่า 250 รายในบราซิลที่ได้รับผลกระทบ การโจมตีรูปแบบนี้อันตรายมากเพราะใช้ความเชื่อใจของผู้ใช้ต่อ WhatsApp และฟีเจอร์ “View Once” ที่ควรจะปลอดภัย
สรุปสาระสำคัญและคำเตือน
วิธีการโจมตี
ใช้ข้อความ “View Once” ปลอมใน WhatsApp
แนบไฟล์ ZIP ที่มี VBS/HTA อันตราย
กลไกการแพร่กระจาย
ใช้ PowerShell ดึง payload จาก C2
ขโมย session WhatsApp Web และรายชื่อผู้ติดต่อ
การติดตั้ง Astaroth Trojan
ใช้ไฟล์ MSI ติดตั้งมัลแวร์
สร้าง persistence ผ่าน registry และ AutoIt script
คำเตือน
การเปิดไฟล์ ZIP จาก WhatsApp เสี่ยงต่อการติดมัลแวร์
Session WhatsApp อาจถูกขโมยและใช้แพร่กระจายต่อ
ข้อมูลทางการเงินและบัญชีธนาคารเสี่ยงถูกโจรกรรม
https://securityonline.info/sophisticated-whatsapp-worm-uses-fake-view-once-lure-to-hijack-sessions-and-deploy-astaroth-banking-trojan/
📱 มัลแวร์ WhatsApp Worm: ล่อด้วย “View Once” ปลอม
นักวิจัยจาก Sophos รายงานการโจมตีที่ซับซ้อนในบราซิล โดยผู้โจมตีส่งข้อความ WhatsApp ที่ดูเหมือน “View Once” พร้อมไฟล์ ZIP แนบมา เมื่อผู้ใช้เปิดไฟล์นั้น จะพบว่าเป็นสคริปต์ VBS หรือ HTA ที่ทำหน้าที่ดาวน์โหลด payload อันตรายเข้าสู่เครื่องคอมพิวเตอร์
🧩 กลไกการทำงาน
มัลแวร์ใช้ PowerShell เพื่อดึง payload จากเซิร์ฟเวอร์ควบคุม (C2) โดยในช่วงแรกใช้ IMAP ดึงไฟล์จากบัญชีอีเมลของผู้โจมตี แต่ต่อมาเปลี่ยนเป็นการสื่อสารผ่าน HTTP เพื่อเพิ่มความยืดหยุ่น Payload ที่สองจะใช้ Selenium และ WPPConnect library เพื่อ ขโมย session ของ WhatsApp Web และรายชื่อผู้ติดต่อ จากนั้นแพร่กระจายไฟล์ ZIP อันตรายไปยังเหยื่อรายใหม่
🏦 การติดตั้ง Astaroth Banking Trojan
ในขั้นตอนต่อมา มัลแวร์จะปล่อยไฟล์ MSI ที่ติดตั้ง Astaroth Banking Trojan ซึ่งมีความสามารถในการ:
🎗️ เขียนไฟล์หลายตัวลงดิสก์
🎗️ สร้าง registry key เพื่อคงอยู่ในระบบ
🎗️ รันสคริปต์ AutoIt ที่ปลอมเป็นไฟล์ log
เมื่อฝังตัวสำเร็จ มัลแวร์จะเชื่อมต่อกับเซิร์ฟเวอร์ C2 เพื่อขโมยข้อมูลทางการเงินและข้อมูลผู้ใช้ต่อไป
🚨 ผลกระทบและความเสี่ยง
แคมเปญนี้มีชื่อว่า STAC3150 และเริ่มต้นตั้งแต่กันยายน 2025 โดยมีผู้ใช้มากกว่า 250 รายในบราซิลที่ได้รับผลกระทบ การโจมตีรูปแบบนี้อันตรายมากเพราะใช้ความเชื่อใจของผู้ใช้ต่อ WhatsApp และฟีเจอร์ “View Once” ที่ควรจะปลอดภัย
📌 สรุปสาระสำคัญและคำเตือน
✅ วิธีการโจมตี
➡️ ใช้ข้อความ “View Once” ปลอมใน WhatsApp
➡️ แนบไฟล์ ZIP ที่มี VBS/HTA อันตราย
✅ กลไกการแพร่กระจาย
➡️ ใช้ PowerShell ดึง payload จาก C2
➡️ ขโมย session WhatsApp Web และรายชื่อผู้ติดต่อ
✅ การติดตั้ง Astaroth Trojan
➡️ ใช้ไฟล์ MSI ติดตั้งมัลแวร์
➡️ สร้าง persistence ผ่าน registry และ AutoIt script
‼️ คำเตือน
⛔ การเปิดไฟล์ ZIP จาก WhatsApp เสี่ยงต่อการติดมัลแวร์
⛔ Session WhatsApp อาจถูกขโมยและใช้แพร่กระจายต่อ
⛔ ข้อมูลทางการเงินและบัญชีธนาคารเสี่ยงถูกโจรกรรม
https://securityonline.info/sophisticated-whatsapp-worm-uses-fake-view-once-lure-to-hijack-sessions-and-deploy-astaroth-banking-trojan/
0 ความคิดเห็น
0 การแบ่งปัน
9 มุมมอง
0 รีวิว
English