ClickFix ภัยเงียบรูปแบบใหม่! แฮกเกอร์ใช้ DNS ลอบส่งมัลแวร์ผ่าน PowerShell
ในช่วงต้นปี 2026 นักวิจัยด้านความปลอดภัยจาก Microsoft Threat Intelligence ได้ส่งสัญญาณเตือนภัยครั้งสำคัญเกี่ยวกับวิวัฒนาการใหม่ของแคมเปญการโจมตีที่ชื่อว่า ClickFix ซึ่งในเวอร์ชันล่าสุดนี้ แฮกเกอร์ได้ก้าวข้ามขีดจำกัดเดิมๆ ด้วยการใช้โปรโตคอล DNS (Domain Name System) เป็นช่องทางหลักในการส่งต่อมัลแวร์ แทนการดาวน์โหลดผ่าน HTTP แบบปกติที่ระบบป้องกันส่วนใหญ่ตรวจจับได้ง่าย
ความน่ากลัวของกลลวงในครั้งนี้คือการอาศัยเทคนิค “Social Engineering” ที่แนบเนียน ผสมผสานกับการใช้คำสั่งพื้นฐานในระบบปฏิบัติการ Windows อย่าง nslookup เพื่อดึงข้อมูล Payload ที่ซ่อนอยู่ใน DNS Response มาประมวลผลเป็นคำสั่ง PowerShell ที่เป็นอันตราย
ClickFix คืออะไร? และทำไมวิวัฒนาการล่าสุดถึงน่ากังวล
โดยพื้นฐานแล้ว ClickFix คือรูปแบบการโจมตีเชิงจิตวิทยาที่หลอกให้ผู้ใช้รันคำสั่งอันตรายด้วยตนเอง ภายใต้ข้ออ้างต่างๆ เช่น “การซ่อมแซมข้อผิดพลาดของเบราว์เซอร์”, “การติดตั้งอัปเดตระบบ” หรือ “การแก้ไขปัญหาการแสดงผลบนเว็บไซต์”
อย่างไรก็ตาม ในแคมเปญใหม่ที่พบนี้ แฮกเกอร์ไม่ได้ให้เหยื่อคัดลอกสคริปต์ PowerShell ยาวๆ มาวางอีกต่อไป แต่กลับใช้วิธีที่สั้นและแนบเนียนกว่าเดิม:
- การล่อลวง (The Lure): เหยื่ออาจได้รับข้อความแจ้งเตือนปลอมบนหน้าเว็บไซต์ หรือผ่านทางโซเชียลมีเดียอ้างว่าระบบมีความผิดปกติ
- คำสั่งพิฆาต: แฮกเกอร์จะแนะนำให้เหยื่อเปิดช่อง Run (Windows + R) แล้วพิมพ์คำสั่งที่ดูเหมือนเป็นการตรวจสอบระบบทั่วไป เช่น การสั่ง nslookup ไปยังเซิร์ฟเวอร์ที่แฮกเกอร์ควบคุมอยู่
- ช่องทาง DNS: แทนที่จะใช้ Default DNS ของระบบ คำสั่งนี้จะบังคับให้ไปสอบถามที่ IP ของแฮกเกอร์โดยตรง ซึ่งเซิร์ฟเวอร์นั้นจะตอบกลับมาเป็นข้อมูลในฟิลด์ “Name:” ที่ซ่อนสคริปต์ PowerShell อันตรายเอาไว้
- การประมวลผล: ระบบ Windows จะทำการ Parse ข้อมูลนั้นและส่งต่อไปยัง Command Interpreter (cmd.exe) เพื่อรันสคริปต์ PowerShell ในทันที
เจาะลึก Payload จากคำสั่งสั้นๆ สู่การยึดครองระบบอย่างสมบูรณ์
จากการวิเคราะห์ของ Microsoft พบว่า Payload ขั้นที่สองที่ถูกส่งผ่าน DNS จะเข้าไปสั่งการให้เครื่องของเหยื่อดาวน์โหลดไฟล์ ZIP จากโครงสร้างพื้นฐานของแฮกเกอร์ ภายในนั้นประกอบด้วย Python Runtime และสคริปต์ที่ทำหน้าที่สอดแนม (Reconnaissance) ข้อมูลภายในเครื่องและโดเมนขององค์กร
เป้าหมายสูงสุดของกลลวงเวอร์ชันนี้คือการติดตั้ง ModeloRAT ซึ่งเป็นมัลแวร์ประเภท Remote Access Trojan ที่ช่วยให้แฮกเกอร์สามารถควบคุมเครื่องคอมพิวเตอร์ของเหยื่อได้จากระยะไกล โดยมัลแวร์จะทำการฝังตัว (Persistence) ผ่านการสร้าง Shortcut ในโฟลเดอร์ Startup เพื่อให้ทำงานทุกครั้งที่เปิดเครื่อง
ทำไมแฮกเกอร์ถึงเลือกใช้ DNS?
- การพรางตัว (Evasion): Traffic ของ DNS มักถูกมองว่าเป็นสิ่งที่ปลอดภัยและจำเป็น องค์กรส่วนใหญ่จึงไม่ได้ทำการตรวจสอบเนื้อหา (Deep Packet Inspection) ใน DNS Query มากเท่ากับ HTTP
- ความยืดหยุ่น: แฮกเกอร์สามารถเปลี่ยนเนื้อหาของ Payload ได้ตลอดเวลาเพียงแค่แก้ไขค่าใน DNS Record ของตนเอง โดยไม่ต้องเปลี่ยนไฟล์มัลแวร์บนโฮสติ้ง
ความหลากหลายของแคมเปญ ClickFix ในปี 2026
กระบวนการนี้ไม่ได้หยุดอยู่แค่การใช้ DNS เท่านั้น แต่ยังขยายตัวไปในหลายทิศทาง
- ConsentFix: การหลอกล่อผ่าน Azure CLI OAuth เพื่อขโมยสิทธิ์เข้าถึงบัญชี Microsoft โดยไม่ต้องใช้รหัสผ่านและข้าม MFA
- AI Lure: การใช้หน้าเพจปลอมที่อ้างว่าเป็น ChatGPT, Grok หรือ Claude เพื่อแจกจ่ายคำแนะนำ ClickFix ปลอม
- JavaScript Hijacking: การใช้คอมเมนต์ในเว็บอย่าง Pastebin เพื่อหลอกให้ผู้ใช้คริปโตเคอร์เรนซีรัน JavaScript ในเบราว์เซอร์เพื่อเปลี่ยนที่อยู่กระเป๋าเงินขณะทำธุรกรรม
แนวทางการสร้างเกราะคุ้มกันให้ Cloud และ Endpoint ของคุณ
ในฐานะพาร์ทเนอร์ด้าน Cloud Infrastructure และความปลอดภัยดิจิทัล THAI DATA CLOUD ขอแนะนำมาตรการป้องกันเชิงรุกสำหรับองค์กรเพื่อรับมือกับภัยคุกคามรูปแบบนี้:
- DNS Security & Filtering: ติดตั้งระบบตรวจสอบ DNS ที่มีความสามารถในการคัดกรอง Domain ที่เป็นอันตราย และตรวจสอบพฤติกรรมการ Query ที่ผิดปกติ
- Endpoint Protection (EDR): ใช้ระบบตรวจจับและยับยั้งการโจมตีที่ระดับเครื่องผู้ใช้ ซึ่งสามารถตรวจจับการรันคำสั่ง PowerShell ที่ผิดปกติจากการสั่งงานผ่าน cmd.exe หรือ nslookup
- Zero Trust & Least Privilege: จำกัดสิทธิ์พนักงานในการรันสคริปต์หรือคำสั่งในระดับ Admin และใช้หลักการไม่ไว้ใจใครแม้จะอยู่ในเครือข่ายเดียวกัน
- User Awareness Training: การอบรมพนักงานคือหัวใจสำคัญ ต้องสร้างความเข้าใจว่า “ไม่มีผู้ให้บริการรายใดจะขอให้คุณรันคำสั่งในช่อง Run หรือ PowerShell ด้วยตนเองเพื่อแก้ไขปัญหาเบื้องต้น”
- Managed Security Services: สำหรับองค์กรที่ต้องการความมั่นใจสูงสุด การใช้บริการเฝ้าระวังภัยคุกคามตลอด 24 ชั่วโมงจากผู้เชี่ยวชาญจะช่วยตรวจจับและระงับเหตุได้ทันท่วงทีก่อนความเสียหายจะขยายวงกว้าง
ความตระหนักรู้คือปราการด่านแรก ที่ต้องให้ความสำคัญ
วิวัฒนาการของ ClickFix แสดงให้เห็นว่าแฮกเกอร์พยายามหาช่องทางที่ “ดูเหมือนปกติ” ที่สุดในการเข้าถึงระบบของเรา DNS ที่เราใช้งานอยู่ทุกวันจึงกลายเป็นดาบสองคมหากขาดการควบคุมที่ดี
ที่ THAI DATA CLOUD เรามุ่งมั่นพัฒนาโครงสร้างพื้นฐานคลาวด์ที่มีความมั่นคงปลอดภัยสูง พร้อมให้คำปรึกษาด้านการวางระบบรักษาความปลอดภัยแบบครบวงจร เพื่อให้ธุรกิจของคุณเติบโตได้อย่างมั่นคงในโลกไซเบอร์ที่เต็มไปด้วยความผันผวน
สนใจปรึกษาโซลูชันด้าน Cloud Security และการป้องกันภัยคุกคามทางไซเบอร์: ติดต่อทีมงานผู้เชี่ยวชาญของเราได้ที่: www.thaidata.cloud/contact/
สอบถามข้อมูลบริการ
- Categories:
- IT News
