เรื่องเล่าจากโลกไซเบอร์: เมื่อ Discord กลายเป็นประตูหลังให้แฮกเกอร์ผ่าน OneDrive ปลอม
ในยุคที่ทุกคนคุ้นเคยกับการแชร์ไฟล์ผ่าน OneDrive และใช้ Discord เป็นช่องทางสื่อสารหลัก แฮกเกอร์ก็ใช้ความคุ้นเคยนี้เป็นเครื่องมือโจมตีแบบแนบเนียน ล่าสุด Sublime Security พบแคมเปญฟิชชิ่งที่ใช้ลิงก์จาก Discord CDN ปลอมตัวเป็นไฟล์จาก OneDrive เพื่อหลอกให้เหยื่อดาวน์โหลดมัลแวร์
แฮกเกอร์ส่งอีเมลจากบัญชีที่ถูกเจาะแล้ว โดยปลอมเป็นข้อความแจ้งเตือนจาก OneDrive พร้อมไอคอน Word และ footer ที่ดูเหมือนของจริง แต่ลิงก์ในอีเมลนั้นไม่ได้พาไปโหลดไฟล์ .docx อย่างที่อ้าง กลับเป็นไฟล์ .msi ที่ซ่อนมัลแวร์ไว้
เมื่อเหยื่อคลิกและติดตั้งไฟล์นั้น จะมีโปรแกรมควบคุมระยะไกล (RMM) สองตัวถูกติดตั้งพร้อมกัน ได้แก่ Atera ที่ติดตั้งแบบเห็นได้ชัด และ Splashtop Streamer ที่ทำงานเงียบ ๆ เบื้องหลัง พร้อมกับ .NET Runtime 8 ทั้งหมดนี้ถูกโหลดจากแหล่งที่ดูน่าเชื่อถือ ทำให้ยากต่อการตรวจจับ
การใช้ RMM แบบหลายตัวช่วยให้แฮกเกอร์รักษาการควบคุมเครื่องแม้จะมีการตรวจพบบางส่วน และสามารถใช้เครื่องเหยื่อในการขโมยข้อมูล เรียกค่าไถ่ หรือเป็นฐานส่งมัลแวร์ต่อไป
นอกจากนี้ยังมีแคมเปญอื่นที่ใช้ Discord CDN เพื่อส่งไฟล์ลัดที่เรียก PowerShell ดาวน์โหลดมัลแวร์จากลิงก์ที่ถูกดัดแปลงให้หลบการตรวจจับได้ ทำให้ Discord ซึ่งเป็นแพลตฟอร์มที่เชื่อถือได้ กลายเป็นช่องทางโจมตีที่อันตรายอย่างคาดไม่ถึง
พบแคมเปญฟิชชิ่งปลอมเป็น OneDrive โดยใช้ Discord CDN เป็นที่เก็บไฟล์
อีเมลปลอมมีไอคอน Word และ footer ที่ดูเหมือนของจริง
ไฟล์ที่โหลดเป็น .msi แทนที่จะเป็น .docx ตามที่อ้าง
ใช้เทคนิค file extension manipulation เพื่อหลอกเหยื่อ
ติดตั้ง RMM สองตัวคือ Atera และ Splashtop Streamer
Atera ติดตั้งแบบเห็นได้ชัด ส่วน Splashtop ทำงานเงียบ ๆ
ใช้ .NET Runtime 8 เพื่อเสริมการทำงานของมัลแวร์
ทั้งหมดโหลดจากแหล่งที่ดูปลอดภัย ทำให้ตรวจจับยาก
Sublime Security ตรวจพบด้วยระบบ AI ที่วิเคราะห์พฤติกรรมอีเมล
เช่น การส่งถึงผู้รับไม่เปิดเผย และการใช้ลิงก์จาก Discord CDN
Discord CDN ถูกใช้ในหลายแคมเปญมัลแวร์ช่วงปี 2024–2025
เช่นการฝัง PowerShell shortcut ในไฟล์ zip เพื่อโหลดมัลแวร์
แฮกเกอร์ใช้เทคนิค URL obfuscation เพื่อหลบการตรวจจับ
เช่นการแทนที่บางส่วนของลิงก์เพื่อให้ระบบความปลอดภัยมองข้าม
RMM เป็นเครื่องมือที่ถูกต้องตามกฎหมายแต่ถูกนำไปใช้ในทางร้าย
ใช้ควบคุมเครื่องเหยื่อจากระยะไกลโดยไม่ต้องใช้ backdoor
การโจมตีแบบ multi-stage ช่วยให้แฮกเกอร์รักษาการควบคุมได้ยาวนาน
แม้จะมีการลบโปรแกรมบางตัว ก็ยังมีอีกตัวทำงานอยู่
https://hackread.com/discord-cdn-link-deliver-rat-disguised-onedrive-file/
ในยุคที่ทุกคนคุ้นเคยกับการแชร์ไฟล์ผ่าน OneDrive และใช้ Discord เป็นช่องทางสื่อสารหลัก แฮกเกอร์ก็ใช้ความคุ้นเคยนี้เป็นเครื่องมือโจมตีแบบแนบเนียน ล่าสุด Sublime Security พบแคมเปญฟิชชิ่งที่ใช้ลิงก์จาก Discord CDN ปลอมตัวเป็นไฟล์จาก OneDrive เพื่อหลอกให้เหยื่อดาวน์โหลดมัลแวร์
แฮกเกอร์ส่งอีเมลจากบัญชีที่ถูกเจาะแล้ว โดยปลอมเป็นข้อความแจ้งเตือนจาก OneDrive พร้อมไอคอน Word และ footer ที่ดูเหมือนของจริง แต่ลิงก์ในอีเมลนั้นไม่ได้พาไปโหลดไฟล์ .docx อย่างที่อ้าง กลับเป็นไฟล์ .msi ที่ซ่อนมัลแวร์ไว้
เมื่อเหยื่อคลิกและติดตั้งไฟล์นั้น จะมีโปรแกรมควบคุมระยะไกล (RMM) สองตัวถูกติดตั้งพร้อมกัน ได้แก่ Atera ที่ติดตั้งแบบเห็นได้ชัด และ Splashtop Streamer ที่ทำงานเงียบ ๆ เบื้องหลัง พร้อมกับ .NET Runtime 8 ทั้งหมดนี้ถูกโหลดจากแหล่งที่ดูน่าเชื่อถือ ทำให้ยากต่อการตรวจจับ
การใช้ RMM แบบหลายตัวช่วยให้แฮกเกอร์รักษาการควบคุมเครื่องแม้จะมีการตรวจพบบางส่วน และสามารถใช้เครื่องเหยื่อในการขโมยข้อมูล เรียกค่าไถ่ หรือเป็นฐานส่งมัลแวร์ต่อไป
นอกจากนี้ยังมีแคมเปญอื่นที่ใช้ Discord CDN เพื่อส่งไฟล์ลัดที่เรียก PowerShell ดาวน์โหลดมัลแวร์จากลิงก์ที่ถูกดัดแปลงให้หลบการตรวจจับได้ ทำให้ Discord ซึ่งเป็นแพลตฟอร์มที่เชื่อถือได้ กลายเป็นช่องทางโจมตีที่อันตรายอย่างคาดไม่ถึง
พบแคมเปญฟิชชิ่งปลอมเป็น OneDrive โดยใช้ Discord CDN เป็นที่เก็บไฟล์
อีเมลปลอมมีไอคอน Word และ footer ที่ดูเหมือนของจริง
ไฟล์ที่โหลดเป็น .msi แทนที่จะเป็น .docx ตามที่อ้าง
ใช้เทคนิค file extension manipulation เพื่อหลอกเหยื่อ
ติดตั้ง RMM สองตัวคือ Atera และ Splashtop Streamer
Atera ติดตั้งแบบเห็นได้ชัด ส่วน Splashtop ทำงานเงียบ ๆ
ใช้ .NET Runtime 8 เพื่อเสริมการทำงานของมัลแวร์
ทั้งหมดโหลดจากแหล่งที่ดูปลอดภัย ทำให้ตรวจจับยาก
Sublime Security ตรวจพบด้วยระบบ AI ที่วิเคราะห์พฤติกรรมอีเมล
เช่น การส่งถึงผู้รับไม่เปิดเผย และการใช้ลิงก์จาก Discord CDN
Discord CDN ถูกใช้ในหลายแคมเปญมัลแวร์ช่วงปี 2024–2025
เช่นการฝัง PowerShell shortcut ในไฟล์ zip เพื่อโหลดมัลแวร์
แฮกเกอร์ใช้เทคนิค URL obfuscation เพื่อหลบการตรวจจับ
เช่นการแทนที่บางส่วนของลิงก์เพื่อให้ระบบความปลอดภัยมองข้าม
RMM เป็นเครื่องมือที่ถูกต้องตามกฎหมายแต่ถูกนำไปใช้ในทางร้าย
ใช้ควบคุมเครื่องเหยื่อจากระยะไกลโดยไม่ต้องใช้ backdoor
การโจมตีแบบ multi-stage ช่วยให้แฮกเกอร์รักษาการควบคุมได้ยาวนาน
แม้จะมีการลบโปรแกรมบางตัว ก็ยังมีอีกตัวทำงานอยู่
https://hackread.com/discord-cdn-link-deliver-rat-disguised-onedrive-file/
🕵️♂️📎 เรื่องเล่าจากโลกไซเบอร์: เมื่อ Discord กลายเป็นประตูหลังให้แฮกเกอร์ผ่าน OneDrive ปลอม
ในยุคที่ทุกคนคุ้นเคยกับการแชร์ไฟล์ผ่าน OneDrive และใช้ Discord เป็นช่องทางสื่อสารหลัก แฮกเกอร์ก็ใช้ความคุ้นเคยนี้เป็นเครื่องมือโจมตีแบบแนบเนียน ล่าสุด Sublime Security พบแคมเปญฟิชชิ่งที่ใช้ลิงก์จาก Discord CDN ปลอมตัวเป็นไฟล์จาก OneDrive เพื่อหลอกให้เหยื่อดาวน์โหลดมัลแวร์
แฮกเกอร์ส่งอีเมลจากบัญชีที่ถูกเจาะแล้ว โดยปลอมเป็นข้อความแจ้งเตือนจาก OneDrive พร้อมไอคอน Word และ footer ที่ดูเหมือนของจริง แต่ลิงก์ในอีเมลนั้นไม่ได้พาไปโหลดไฟล์ .docx อย่างที่อ้าง กลับเป็นไฟล์ .msi ที่ซ่อนมัลแวร์ไว้
เมื่อเหยื่อคลิกและติดตั้งไฟล์นั้น จะมีโปรแกรมควบคุมระยะไกล (RMM) สองตัวถูกติดตั้งพร้อมกัน ได้แก่ Atera ที่ติดตั้งแบบเห็นได้ชัด และ Splashtop Streamer ที่ทำงานเงียบ ๆ เบื้องหลัง พร้อมกับ .NET Runtime 8 ทั้งหมดนี้ถูกโหลดจากแหล่งที่ดูน่าเชื่อถือ ทำให้ยากต่อการตรวจจับ
การใช้ RMM แบบหลายตัวช่วยให้แฮกเกอร์รักษาการควบคุมเครื่องแม้จะมีการตรวจพบบางส่วน และสามารถใช้เครื่องเหยื่อในการขโมยข้อมูล เรียกค่าไถ่ หรือเป็นฐานส่งมัลแวร์ต่อไป
นอกจากนี้ยังมีแคมเปญอื่นที่ใช้ Discord CDN เพื่อส่งไฟล์ลัดที่เรียก PowerShell ดาวน์โหลดมัลแวร์จากลิงก์ที่ถูกดัดแปลงให้หลบการตรวจจับได้ ทำให้ Discord ซึ่งเป็นแพลตฟอร์มที่เชื่อถือได้ กลายเป็นช่องทางโจมตีที่อันตรายอย่างคาดไม่ถึง
✅ พบแคมเปญฟิชชิ่งปลอมเป็น OneDrive โดยใช้ Discord CDN เป็นที่เก็บไฟล์ ➡️
อีเมลปลอมมีไอคอน Word และ footer ที่ดูเหมือนของจริง
✅ ไฟล์ที่โหลดเป็น .msi แทนที่จะเป็น .docx ตามที่อ้าง
➡️ ใช้เทคนิค file extension manipulation เพื่อหลอกเหยื่อ
✅ ติดตั้ง RMM สองตัวคือ Atera และ Splashtop Streamer
➡️ Atera ติดตั้งแบบเห็นได้ชัด ส่วน Splashtop ทำงานเงียบ ๆ
✅ ใช้ .NET Runtime 8 เพื่อเสริมการทำงานของมัลแวร์
➡️ ทั้งหมดโหลดจากแหล่งที่ดูปลอดภัย ทำให้ตรวจจับยาก
✅ Sublime Security ตรวจพบด้วยระบบ AI ที่วิเคราะห์พฤติกรรมอีเมล
➡️ เช่น การส่งถึงผู้รับไม่เปิดเผย และการใช้ลิงก์จาก Discord CDN
✅ Discord CDN ถูกใช้ในหลายแคมเปญมัลแวร์ช่วงปี 2024–2025
➡️ เช่นการฝัง PowerShell shortcut ในไฟล์ zip เพื่อโหลดมัลแวร์
✅ แฮกเกอร์ใช้เทคนิค URL obfuscation เพื่อหลบการตรวจจับ
➡️ เช่นการแทนที่บางส่วนของลิงก์เพื่อให้ระบบความปลอดภัยมองข้าม
✅ RMM เป็นเครื่องมือที่ถูกต้องตามกฎหมายแต่ถูกนำไปใช้ในทางร้าย
➡️ ใช้ควบคุมเครื่องเหยื่อจากระยะไกลโดยไม่ต้องใช้ backdoor
✅ การโจมตีแบบ multi-stage ช่วยให้แฮกเกอร์รักษาการควบคุมได้ยาวนาน
➡️ แม้จะมีการลบโปรแกรมบางตัว ก็ยังมีอีกตัวทำงานอยู่
https://hackread.com/discord-cdn-link-deliver-rat-disguised-onedrive-file/
0 ความคิดเห็น
0 การแบ่งปัน
60 มุมมอง
0 รีวิว