EmEditor ถูกเจาะ! มัลแวร์ปลอมชื่อ “WALSHAM” ปลอมตัวเป็นตัวติดตั้งจริงและดูดข้อมูลผู้ใช้
เหตุการณ์โจมตีซัพพลายเชนครั้งใหญ่เกิดขึ้นก่อนวันคริสต์มาสเพียงไม่กี่วัน เมื่อ EmEditor โปรแกรมแก้ไขข้อความยอดนิยมถูกแฮกเกอร์สลับตัวติดตั้งจริงกับไฟล์ MSI อันตรายเป็นเวลานานเกือบ 4 วัน รายงานจากทีม RedDrip ของ Qianxin เผยว่าผู้ใช้จำนวนมาก—ตั้งแต่นักพัฒนาไปจนถึงทีมไอที—ดาวน์โหลดโทรจันขโมยข้อมูลโดยไม่รู้ตัวผ่านปุ่ม “Download Now” บนเว็บไซต์ทางการที่ถูกเปลี่ยนเส้นทางอย่างแนบเนียน
สิ่งที่ทำให้การโจมตีครั้งนี้อันตรายยิ่งขึ้นคือไฟล์ปลอมถูกเซ็นด้วยใบรับรองดิจิทัลของบริษัทลวงชื่อ “WALSHAM INVESTMENTS LIMITED” แทนที่จะเป็น “Emurasoft, Inc.” ตัวมัลแวร์ไม่ได้เป็นเพียงตัวดาวน์โหลดธรรมดา แต่เป็นเครื่องมือดูดข้อมูลขั้นสูงที่รันสคริปต์ PowerShell เพื่อเก็บข้อมูลระบบ สร้างกุญแจ RSA และเข้ารหัสข้อมูลที่ถูกขโมย ก่อนส่งกลับไปยังผู้โจมตี
ขอบเขตของข้อมูลที่ถูกล้วงมีความรุนแรงอย่างมาก ตั้งแต่คอนฟิก VPN, คุกกี้และรหัสผ่านจากเบราว์เซอร์ยอดนิยม, ไปจนถึงข้อมูลแอปพลิเคชันอย่าง Discord, Slack, Zoom, WinSCP และ PuTTY รวมถึงไฟล์ใน Desktop, Documents และ Downloads นอกจากนี้ มัลแวร์ยังติดตั้งส่วนขยายเบราว์เซอร์ปลอมชื่อ “Google Drive Caching” ซึ่งเป็นเครื่องมือจารกรรมเต็มรูปแบบที่สามารถ keylogging, ถ่ายภาพหน้าจอ, ขโมยบัญชีโฆษณา Facebook และดักเปลี่ยนที่อยู่กระเป๋าคริปโตในคลิปบอร์ดได้
ที่น่าสนใจคือมัลแวร์มี “รายการประเทศที่ไม่ต้องการติดเชื้อ” โดยจะหยุดทำงานทันทีหากพบภาษาระบบที่เกี่ยวข้องกับรัสเซีย ยูเครน คาซัคสถาน หรืออิหร่าน ซึ่งเป็นรูปแบบที่พบได้ในกลุ่มภัยคุกคามระดับรัฐบางกลุ่ม เหตุการณ์นี้ถูกประเมินว่าเป็นภัยระดับสูงต่อองค์กรและหน่วยงานรัฐ โดยเฉพาะในจีนและประเทศที่ใช้ EmEditor อย่างแพร่หลาย ทีมความปลอดภัยถูกแนะนำให้ตรวจสอบใบรับรอง “WALSHAM INVESTMENTS LIMITED” และส่วนขยาย “Google Drive Caching” ทันที
สรุปประเด็นสำคัญ
ข้อมูลจากข่าว
EmEditor ถูกโจมตีซัพพลายเชนระหว่าง 19–22 ธันวาคม 2025
ปุ่มดาวน์โหลดถูกเปลี่ยนเส้นทางไปยัง MSI อันตราย
ไฟล์ปลอมเซ็นด้วยชื่อ “WALSHAM INVESTMENTS LIMITED”
มัลแวร์ใช้ PowerShell เก็บข้อมูลและเข้ารหัสด้วย RSA
ขโมยข้อมูล VPN, เบราว์เซอร์, แอปพลิเคชัน และไฟล์สำคัญ
ติดตั้งส่วนขยายปลอม “Google Drive Caching” เพื่อคงอยู่ในระบบ
ส่วนขยายมีความสามารถ keylogging, screenshot, ขโมยบัญชี และดักกระเป๋าคริปโต
มัลแวร์หยุดทำงานหากพบภาษาระบบของรัสเซีย–อดีตโซเวียต–อิหร่าน
เหตุการณ์ถูกประเมินว่าเป็นภัยระดับสูงต่อองค์กรและรัฐบาล
คำเตือนด้านความปลอดภัย
ซัพพลายเชนซอฟต์แวร์เป็นจุดโจมตีที่ตรวจจับยากและสร้างความเสียหายวงกว้าง
ไฟล์ MSI ที่เซ็นด้วยใบรับรองปลอมสามารถหลอกผู้ใช้ได้ง่าย
ส่วนขยายเบราว์เซอร์ปลอมเป็นช่องทางคงอยู่ที่อันตรายมาก
ข้อมูลที่ถูกขโมยครอบคลุมทั้งระบบงานและข้อมูลส่วนบุคคล
องค์กรควรตรวจสอบใบรับรองและส่วนขยายต้องสงสัยทันที
https://securityonline.info/emeditor-compromised-walsham-imposter-poisons-official-installer-with-spyware/
เหตุการณ์โจมตีซัพพลายเชนครั้งใหญ่เกิดขึ้นก่อนวันคริสต์มาสเพียงไม่กี่วัน เมื่อ EmEditor โปรแกรมแก้ไขข้อความยอดนิยมถูกแฮกเกอร์สลับตัวติดตั้งจริงกับไฟล์ MSI อันตรายเป็นเวลานานเกือบ 4 วัน รายงานจากทีม RedDrip ของ Qianxin เผยว่าผู้ใช้จำนวนมาก—ตั้งแต่นักพัฒนาไปจนถึงทีมไอที—ดาวน์โหลดโทรจันขโมยข้อมูลโดยไม่รู้ตัวผ่านปุ่ม “Download Now” บนเว็บไซต์ทางการที่ถูกเปลี่ยนเส้นทางอย่างแนบเนียน
สิ่งที่ทำให้การโจมตีครั้งนี้อันตรายยิ่งขึ้นคือไฟล์ปลอมถูกเซ็นด้วยใบรับรองดิจิทัลของบริษัทลวงชื่อ “WALSHAM INVESTMENTS LIMITED” แทนที่จะเป็น “Emurasoft, Inc.” ตัวมัลแวร์ไม่ได้เป็นเพียงตัวดาวน์โหลดธรรมดา แต่เป็นเครื่องมือดูดข้อมูลขั้นสูงที่รันสคริปต์ PowerShell เพื่อเก็บข้อมูลระบบ สร้างกุญแจ RSA และเข้ารหัสข้อมูลที่ถูกขโมย ก่อนส่งกลับไปยังผู้โจมตี
ขอบเขตของข้อมูลที่ถูกล้วงมีความรุนแรงอย่างมาก ตั้งแต่คอนฟิก VPN, คุกกี้และรหัสผ่านจากเบราว์เซอร์ยอดนิยม, ไปจนถึงข้อมูลแอปพลิเคชันอย่าง Discord, Slack, Zoom, WinSCP และ PuTTY รวมถึงไฟล์ใน Desktop, Documents และ Downloads นอกจากนี้ มัลแวร์ยังติดตั้งส่วนขยายเบราว์เซอร์ปลอมชื่อ “Google Drive Caching” ซึ่งเป็นเครื่องมือจารกรรมเต็มรูปแบบที่สามารถ keylogging, ถ่ายภาพหน้าจอ, ขโมยบัญชีโฆษณา Facebook และดักเปลี่ยนที่อยู่กระเป๋าคริปโตในคลิปบอร์ดได้
ที่น่าสนใจคือมัลแวร์มี “รายการประเทศที่ไม่ต้องการติดเชื้อ” โดยจะหยุดทำงานทันทีหากพบภาษาระบบที่เกี่ยวข้องกับรัสเซีย ยูเครน คาซัคสถาน หรืออิหร่าน ซึ่งเป็นรูปแบบที่พบได้ในกลุ่มภัยคุกคามระดับรัฐบางกลุ่ม เหตุการณ์นี้ถูกประเมินว่าเป็นภัยระดับสูงต่อองค์กรและหน่วยงานรัฐ โดยเฉพาะในจีนและประเทศที่ใช้ EmEditor อย่างแพร่หลาย ทีมความปลอดภัยถูกแนะนำให้ตรวจสอบใบรับรอง “WALSHAM INVESTMENTS LIMITED” และส่วนขยาย “Google Drive Caching” ทันที
สรุปประเด็นสำคัญ
ข้อมูลจากข่าว
EmEditor ถูกโจมตีซัพพลายเชนระหว่าง 19–22 ธันวาคม 2025
ปุ่มดาวน์โหลดถูกเปลี่ยนเส้นทางไปยัง MSI อันตราย
ไฟล์ปลอมเซ็นด้วยชื่อ “WALSHAM INVESTMENTS LIMITED”
มัลแวร์ใช้ PowerShell เก็บข้อมูลและเข้ารหัสด้วย RSA
ขโมยข้อมูล VPN, เบราว์เซอร์, แอปพลิเคชัน และไฟล์สำคัญ
ติดตั้งส่วนขยายปลอม “Google Drive Caching” เพื่อคงอยู่ในระบบ
ส่วนขยายมีความสามารถ keylogging, screenshot, ขโมยบัญชี และดักกระเป๋าคริปโต
มัลแวร์หยุดทำงานหากพบภาษาระบบของรัสเซีย–อดีตโซเวียต–อิหร่าน
เหตุการณ์ถูกประเมินว่าเป็นภัยระดับสูงต่อองค์กรและรัฐบาล
คำเตือนด้านความปลอดภัย
ซัพพลายเชนซอฟต์แวร์เป็นจุดโจมตีที่ตรวจจับยากและสร้างความเสียหายวงกว้าง
ไฟล์ MSI ที่เซ็นด้วยใบรับรองปลอมสามารถหลอกผู้ใช้ได้ง่าย
ส่วนขยายเบราว์เซอร์ปลอมเป็นช่องทางคงอยู่ที่อันตรายมาก
ข้อมูลที่ถูกขโมยครอบคลุมทั้งระบบงานและข้อมูลส่วนบุคคล
องค์กรควรตรวจสอบใบรับรองและส่วนขยายต้องสงสัยทันที
https://securityonline.info/emeditor-compromised-walsham-imposter-poisons-official-installer-with-spyware/
🧨💻 EmEditor ถูกเจาะ! มัลแวร์ปลอมชื่อ “WALSHAM” ปลอมตัวเป็นตัวติดตั้งจริงและดูดข้อมูลผู้ใช้
เหตุการณ์โจมตีซัพพลายเชนครั้งใหญ่เกิดขึ้นก่อนวันคริสต์มาสเพียงไม่กี่วัน เมื่อ EmEditor โปรแกรมแก้ไขข้อความยอดนิยมถูกแฮกเกอร์สลับตัวติดตั้งจริงกับไฟล์ MSI อันตรายเป็นเวลานานเกือบ 4 วัน รายงานจากทีม RedDrip ของ Qianxin เผยว่าผู้ใช้จำนวนมาก—ตั้งแต่นักพัฒนาไปจนถึงทีมไอที—ดาวน์โหลดโทรจันขโมยข้อมูลโดยไม่รู้ตัวผ่านปุ่ม “Download Now” บนเว็บไซต์ทางการที่ถูกเปลี่ยนเส้นทางอย่างแนบเนียน
สิ่งที่ทำให้การโจมตีครั้งนี้อันตรายยิ่งขึ้นคือไฟล์ปลอมถูกเซ็นด้วยใบรับรองดิจิทัลของบริษัทลวงชื่อ “WALSHAM INVESTMENTS LIMITED” แทนที่จะเป็น “Emurasoft, Inc.” ตัวมัลแวร์ไม่ได้เป็นเพียงตัวดาวน์โหลดธรรมดา แต่เป็นเครื่องมือดูดข้อมูลขั้นสูงที่รันสคริปต์ PowerShell เพื่อเก็บข้อมูลระบบ สร้างกุญแจ RSA และเข้ารหัสข้อมูลที่ถูกขโมย ก่อนส่งกลับไปยังผู้โจมตี
ขอบเขตของข้อมูลที่ถูกล้วงมีความรุนแรงอย่างมาก ตั้งแต่คอนฟิก VPN, คุกกี้และรหัสผ่านจากเบราว์เซอร์ยอดนิยม, ไปจนถึงข้อมูลแอปพลิเคชันอย่าง Discord, Slack, Zoom, WinSCP และ PuTTY รวมถึงไฟล์ใน Desktop, Documents และ Downloads นอกจากนี้ มัลแวร์ยังติดตั้งส่วนขยายเบราว์เซอร์ปลอมชื่อ “Google Drive Caching” ซึ่งเป็นเครื่องมือจารกรรมเต็มรูปแบบที่สามารถ keylogging, ถ่ายภาพหน้าจอ, ขโมยบัญชีโฆษณา Facebook และดักเปลี่ยนที่อยู่กระเป๋าคริปโตในคลิปบอร์ดได้
ที่น่าสนใจคือมัลแวร์มี “รายการประเทศที่ไม่ต้องการติดเชื้อ” โดยจะหยุดทำงานทันทีหากพบภาษาระบบที่เกี่ยวข้องกับรัสเซีย ยูเครน คาซัคสถาน หรืออิหร่าน ซึ่งเป็นรูปแบบที่พบได้ในกลุ่มภัยคุกคามระดับรัฐบางกลุ่ม เหตุการณ์นี้ถูกประเมินว่าเป็นภัยระดับสูงต่อองค์กรและหน่วยงานรัฐ โดยเฉพาะในจีนและประเทศที่ใช้ EmEditor อย่างแพร่หลาย ทีมความปลอดภัยถูกแนะนำให้ตรวจสอบใบรับรอง “WALSHAM INVESTMENTS LIMITED” และส่วนขยาย “Google Drive Caching” ทันที
📌 สรุปประเด็นสำคัญ
✅ ข้อมูลจากข่าว
➡️ EmEditor ถูกโจมตีซัพพลายเชนระหว่าง 19–22 ธันวาคม 2025
➡️ ปุ่มดาวน์โหลดถูกเปลี่ยนเส้นทางไปยัง MSI อันตราย
➡️ ไฟล์ปลอมเซ็นด้วยชื่อ “WALSHAM INVESTMENTS LIMITED”
➡️ มัลแวร์ใช้ PowerShell เก็บข้อมูลและเข้ารหัสด้วย RSA
➡️ ขโมยข้อมูล VPN, เบราว์เซอร์, แอปพลิเคชัน และไฟล์สำคัญ
➡️ ติดตั้งส่วนขยายปลอม “Google Drive Caching” เพื่อคงอยู่ในระบบ
➡️ ส่วนขยายมีความสามารถ keylogging, screenshot, ขโมยบัญชี และดักกระเป๋าคริปโต
➡️ มัลแวร์หยุดทำงานหากพบภาษาระบบของรัสเซีย–อดีตโซเวียต–อิหร่าน
➡️ เหตุการณ์ถูกประเมินว่าเป็นภัยระดับสูงต่อองค์กรและรัฐบาล
‼️ คำเตือนด้านความปลอดภัย
⛔ ซัพพลายเชนซอฟต์แวร์เป็นจุดโจมตีที่ตรวจจับยากและสร้างความเสียหายวงกว้าง
⛔ ไฟล์ MSI ที่เซ็นด้วยใบรับรองปลอมสามารถหลอกผู้ใช้ได้ง่าย
⛔ ส่วนขยายเบราว์เซอร์ปลอมเป็นช่องทางคงอยู่ที่อันตรายมาก
⛔ ข้อมูลที่ถูกขโมยครอบคลุมทั้งระบบงานและข้อมูลส่วนบุคคล
⛔ องค์กรควรตรวจสอบใบรับรองและส่วนขยายต้องสงสัยทันที
https://securityonline.info/emeditor-compromised-walsham-imposter-poisons-official-installer-with-spyware/
0 ความคิดเห็น
0 การแบ่งปัน
85 มุมมอง
0 รีวิว
English