แคมเปญ JS#SMUGGLER: มัลแวร์ใหม่แพร่ผ่านเว็บไซต์ติดเชื้อ
นักวิจัยจาก Securonix Threat Research รายงานการค้นพบแคมเปญมัลแวร์ใหม่ชื่อ JS#SMUGGLER ซึ่งใช้เทคนิคหลายชั้นในการแพร่กระจายและติดตั้ง NetSupport RAT บนเครื่อง Windows ของเหยื่อ โดยเริ่มต้นจากการฝังโค้ด JavaScript ที่ถูก obfuscate (ทำให้ยุ่งเหยิง) ลงในเว็บไซต์ที่ถูกเจาะ เพื่อหลบเลี่ยงการตรวจจับของระบบรักษาความปลอดภัย
ขั้นตอนการโจมตี 3 ระดับ
1️⃣ JavaScript Loader – เมื่อผู้ใช้เข้าเว็บไซต์ที่ติดเชื้อ โค้ดจะตรวจสอบว่าเป็น desktop หรือ mobile หากเป็น desktop จะโหลด payload ต่อไป
2️⃣ HTA (HTML Application) – ใช้โปรแกรม mshta.exe ของ Windows รันโค้ดที่ถูกเข้ารหัสหลายชั้น (AES-256, Base64, GZIP) โดยไม่ทิ้งไฟล์หลักไว้ในดิสก์ ทำให้ยากต่อการตรวจจับ
3️⃣ NetSupport RAT – ติดตั้งตัว Remote Access Trojan ที่ให้แฮกเกอร์ควบคุมเครื่องได้เต็มรูปแบบ เช่น การเข้าถึงไฟล์, รันคำสั่ง, และสอดส่องกิจกรรมของผู้ใช้
เทคนิคการซ่อนตัว
มัลแวร์จะสร้างโฟลเดอร์ที่ดูปกติ เช่น C:\ProgramData\CommunicationLayer\ และเพิ่ม shortcut ปลอมชื่อ WindowsUpdate.lnk ใน Startup เพื่อให้ RAT ทำงานทุกครั้งที่เปิดเครื่อง วิธีนี้ทำให้การติดเชื้อมีความถาวรและยากต่อการสังเกต
ความเสี่ยงและคำแนะนำ
การโจมตีนี้ถือว่ามีความซับซ้อนและเป็นมืออาชีพสูง ผู้ใช้ทั่วไปอาจไม่รู้ตัวเลยว่าถูกติดเชื้อ การป้องกันที่ดีที่สุดคือ:
หลีกเลี่ยงการดาวน์โหลดไฟล์จากเว็บไซต์ที่ไม่น่าเชื่อถือ
ใช้ระบบตรวจจับ endpoint ที่สามารถตรวจสอบ script และ process ที่ผิดปกติ
อัปเดตซอฟต์แวร์และระบบปฏิบัติการอย่างสม่ำเสมอ
สรุปประเด็นสำคัญ
การค้นพบมัลแวร์ JS#SMUGGLER
ใช้ JavaScript obfuscation และ HTA เพื่อแพร่กระจาย
ติดตั้ง NetSupport RAT บน Windows
เทคนิคการทำงาน
เข้ารหัสหลายชั้น (AES-256, Base64, GZIP)
สร้าง shortcut ปลอม WindowsUpdate.lnk เพื่อรันอัตโนมัติ
ความเสี่ยงต่อผู้ใช้
แฮกเกอร์สามารถควบคุมเครื่องได้เต็มรูปแบบ
ยากต่อการตรวจจับเพราะไม่ทิ้งไฟล์หลักบนดิสก์
แนวทางป้องกัน
หลีกเลี่ยงเว็บไซต์และไฟล์ที่ไม่น่าเชื่อถือ
ใช้ระบบตรวจจับ endpoint และอัปเดตซอฟต์แวร์เสมอ
https://hackread.com/jssmuggler-netsupport-rat-infected-sites/
นักวิจัยจาก Securonix Threat Research รายงานการค้นพบแคมเปญมัลแวร์ใหม่ชื่อ JS#SMUGGLER ซึ่งใช้เทคนิคหลายชั้นในการแพร่กระจายและติดตั้ง NetSupport RAT บนเครื่อง Windows ของเหยื่อ โดยเริ่มต้นจากการฝังโค้ด JavaScript ที่ถูก obfuscate (ทำให้ยุ่งเหยิง) ลงในเว็บไซต์ที่ถูกเจาะ เพื่อหลบเลี่ยงการตรวจจับของระบบรักษาความปลอดภัย
ขั้นตอนการโจมตี 3 ระดับ
1️⃣ JavaScript Loader – เมื่อผู้ใช้เข้าเว็บไซต์ที่ติดเชื้อ โค้ดจะตรวจสอบว่าเป็น desktop หรือ mobile หากเป็น desktop จะโหลด payload ต่อไป
2️⃣ HTA (HTML Application) – ใช้โปรแกรม mshta.exe ของ Windows รันโค้ดที่ถูกเข้ารหัสหลายชั้น (AES-256, Base64, GZIP) โดยไม่ทิ้งไฟล์หลักไว้ในดิสก์ ทำให้ยากต่อการตรวจจับ
3️⃣ NetSupport RAT – ติดตั้งตัว Remote Access Trojan ที่ให้แฮกเกอร์ควบคุมเครื่องได้เต็มรูปแบบ เช่น การเข้าถึงไฟล์, รันคำสั่ง, และสอดส่องกิจกรรมของผู้ใช้
เทคนิคการซ่อนตัว
มัลแวร์จะสร้างโฟลเดอร์ที่ดูปกติ เช่น C:\ProgramData\CommunicationLayer\ และเพิ่ม shortcut ปลอมชื่อ WindowsUpdate.lnk ใน Startup เพื่อให้ RAT ทำงานทุกครั้งที่เปิดเครื่อง วิธีนี้ทำให้การติดเชื้อมีความถาวรและยากต่อการสังเกต
ความเสี่ยงและคำแนะนำ
การโจมตีนี้ถือว่ามีความซับซ้อนและเป็นมืออาชีพสูง ผู้ใช้ทั่วไปอาจไม่รู้ตัวเลยว่าถูกติดเชื้อ การป้องกันที่ดีที่สุดคือ:
หลีกเลี่ยงการดาวน์โหลดไฟล์จากเว็บไซต์ที่ไม่น่าเชื่อถือ
ใช้ระบบตรวจจับ endpoint ที่สามารถตรวจสอบ script และ process ที่ผิดปกติ
อัปเดตซอฟต์แวร์และระบบปฏิบัติการอย่างสม่ำเสมอ
สรุปประเด็นสำคัญ
การค้นพบมัลแวร์ JS#SMUGGLER
ใช้ JavaScript obfuscation และ HTA เพื่อแพร่กระจาย
ติดตั้ง NetSupport RAT บน Windows
เทคนิคการทำงาน
เข้ารหัสหลายชั้น (AES-256, Base64, GZIP)
สร้าง shortcut ปลอม WindowsUpdate.lnk เพื่อรันอัตโนมัติ
ความเสี่ยงต่อผู้ใช้
แฮกเกอร์สามารถควบคุมเครื่องได้เต็มรูปแบบ
ยากต่อการตรวจจับเพราะไม่ทิ้งไฟล์หลักบนดิสก์
แนวทางป้องกัน
หลีกเลี่ยงเว็บไซต์และไฟล์ที่ไม่น่าเชื่อถือ
ใช้ระบบตรวจจับ endpoint และอัปเดตซอฟต์แวร์เสมอ
https://hackread.com/jssmuggler-netsupport-rat-infected-sites/
🕵️♂️ แคมเปญ JS#SMUGGLER: มัลแวร์ใหม่แพร่ผ่านเว็บไซต์ติดเชื้อ
นักวิจัยจาก Securonix Threat Research รายงานการค้นพบแคมเปญมัลแวร์ใหม่ชื่อ JS#SMUGGLER ซึ่งใช้เทคนิคหลายชั้นในการแพร่กระจายและติดตั้ง NetSupport RAT บนเครื่อง Windows ของเหยื่อ โดยเริ่มต้นจากการฝังโค้ด JavaScript ที่ถูก obfuscate (ทำให้ยุ่งเหยิง) ลงในเว็บไซต์ที่ถูกเจาะ เพื่อหลบเลี่ยงการตรวจจับของระบบรักษาความปลอดภัย
⚡ ขั้นตอนการโจมตี 3 ระดับ
1️⃣ JavaScript Loader – เมื่อผู้ใช้เข้าเว็บไซต์ที่ติดเชื้อ โค้ดจะตรวจสอบว่าเป็น desktop หรือ mobile หากเป็น desktop จะโหลด payload ต่อไป
2️⃣ HTA (HTML Application) – ใช้โปรแกรม mshta.exe ของ Windows รันโค้ดที่ถูกเข้ารหัสหลายชั้น (AES-256, Base64, GZIP) โดยไม่ทิ้งไฟล์หลักไว้ในดิสก์ ทำให้ยากต่อการตรวจจับ
3️⃣ NetSupport RAT – ติดตั้งตัว Remote Access Trojan ที่ให้แฮกเกอร์ควบคุมเครื่องได้เต็มรูปแบบ เช่น การเข้าถึงไฟล์, รันคำสั่ง, และสอดส่องกิจกรรมของผู้ใช้
🔐 เทคนิคการซ่อนตัว
มัลแวร์จะสร้างโฟลเดอร์ที่ดูปกติ เช่น C:\ProgramData\CommunicationLayer\ และเพิ่ม shortcut ปลอมชื่อ WindowsUpdate.lnk ใน Startup เพื่อให้ RAT ทำงานทุกครั้งที่เปิดเครื่อง วิธีนี้ทำให้การติดเชื้อมีความถาวรและยากต่อการสังเกต
⚠️ ความเสี่ยงและคำแนะนำ
การโจมตีนี้ถือว่ามีความซับซ้อนและเป็นมืออาชีพสูง ผู้ใช้ทั่วไปอาจไม่รู้ตัวเลยว่าถูกติดเชื้อ การป้องกันที่ดีที่สุดคือ:
🪛 หลีกเลี่ยงการดาวน์โหลดไฟล์จากเว็บไซต์ที่ไม่น่าเชื่อถือ
🪛 ใช้ระบบตรวจจับ endpoint ที่สามารถตรวจสอบ script และ process ที่ผิดปกติ
🪛 อัปเดตซอฟต์แวร์และระบบปฏิบัติการอย่างสม่ำเสมอ
📌 สรุปประเด็นสำคัญ
✅ การค้นพบมัลแวร์ JS#SMUGGLER
➡️ ใช้ JavaScript obfuscation และ HTA เพื่อแพร่กระจาย
➡️ ติดตั้ง NetSupport RAT บน Windows
✅ เทคนิคการทำงาน
➡️ เข้ารหัสหลายชั้น (AES-256, Base64, GZIP)
➡️ สร้าง shortcut ปลอม WindowsUpdate.lnk เพื่อรันอัตโนมัติ
‼️ ความเสี่ยงต่อผู้ใช้
⛔ แฮกเกอร์สามารถควบคุมเครื่องได้เต็มรูปแบบ
⛔ ยากต่อการตรวจจับเพราะไม่ทิ้งไฟล์หลักบนดิสก์
‼️ แนวทางป้องกัน
⛔ หลีกเลี่ยงเว็บไซต์และไฟล์ที่ไม่น่าเชื่อถือ
⛔ ใช้ระบบตรวจจับ endpoint และอัปเดตซอฟต์แวร์เสมอ
https://hackread.com/jssmuggler-netsupport-rat-infected-sites/
0 ความคิดเห็น
0 การแบ่งปัน
11 มุมมอง
0 รีวิว
English