Back to Blog

มัลแวร์ SCMBANKER ใช้ ClickFix หลอกผู้ใช้ธนาคารในเม็กซิโก

มัลแวร์ SCMBANKER ใช้เทคนิค ClickFix หลอกผู้ใช้ธนาคารในเม็กซิโกผ่านหน้า CAPTCHA ปลอม เรียนรู้วิธีป้องกันตัวจากภัยคุกคามนี้

Sales
1 min read
มัลแวร์ SCMBANKER ใช้ ClickFix หลอกผู้ใช้ธนาคารในเม็กซิโก

กลุ่มนักวิจัยด้านความปลอดภัยของ Elastic Security Labs ได้เปิดเผยถึงปฏิบัติการผิดกฎหมายทางการเงินรูปแบบใหม่ที่มุ่งโจมตีผู้ใช้บริการธนาคารในเม็กซิโก รวมถึงกลุ่มฟินเทค ผู้ให้บริการชำระเงิน และตลาดแลกเปลี่ยนคริปโทเคอร์เรนซี โดยใช้เทคนิค ClickFix ในการหลอกลวงเหยื่อ

ปฏิบัติการนี้ถูกติดตามภายใต้ชื่อ REF6045 โดยเริ่มต้นจากหน้าเว็บปลอมที่แอบอ้างเป็น CAPTCHA เพื่อให้เหยื่อคลิกและรันคำสั่งที่เป็นอันตราย ซึ่งจะนำไปสู่การติดตั้งชุดเครื่องมือ PowerShell ที่ถูกตั้งชื่อว่า SCMBANKER



เทคนิค ClickFix คืออะไร


ClickFix เป็นกลวิธีทางวิศวกรรมสังคมที่ใช้หน้าเว็บปลอมเพื่อหลอกให้เหยื่อดำเนินการบางอย่าง เช่น การกดปุ่มหรือรันคำสั่ง โดยเหยื่อจะเข้าใจผิดว่ากำลังทำตามขั้นตอนยืนยันตัวตนปกติ แต่แท้จริงแล้วกำลังเปิดทางให้มัลแวร์เข้าสู่ระบบของตนเอง

ในกรณีนี้ ผู้โจมตีสร้างหน้า CAPTCHA ปลอมที่ดูน่าเชื่อถือ เมื่อเหยื่อพยายามเข้าถึงเนื้อหาหรือบริการบางอย่างบนเว็บไซต์ จะถูกเปลี่ยนเส้นทางไปยังหน้าที่ขอให้คลิกเพื่อยืนยันว่าไม่ใช่บอท แต่การคลิกดังกล่าวกลับเป็นการรันสคริปต์ PowerShell ที่ฝังไว้



การทำงานของมัลแวร์ SCMBANKER


เมื่อผู้ใช้คลิกที่หน้า CAPTCHA ปลอม คำสั่ง PowerShell จะถูกดาวน์โหลดและรันบนเครื่องของเหยื่อโดยอัตโนมัติ สคริปต์นี้จะติดตั้ง SCMBANKER ซึ่งเป็นชุดเครื่องมือที่ออกแบบมาเพื่อขโมยข้อมูลการเงินโดยเฉพาะ

มัลแวร์สามารถบันทึกการกดแป้นพิมพ์ ดักจับหน้าจอ และขโมยข้อมูลประจำตัวจากเบราว์เซอร์ รวมถึงข้อมูลบัญชีธนาคารออนไลน์ ข้อมูลบัตรเครดิต และข้อมูลการทำธุรกรรมคริปโทเคอร์เรนซี ข้อมูลทั้งหมดจะถูกส่งกลับไปยังเซิร์ฟเวอร์ควบคุมของผู้โจมตี



กลุ่มเป้าหมายหลักของ REF6045


กลุ่มเป้าหมายหลักของปฏิบัติการนี้คือผู้ใช้บริการธนาคารในเม็กซิโก โดยเฉพาะลูกค้าของธนาคารชั้นนำหลายแห่ง นอกจากนี้ยังรวมถึงผู้ใช้บริการฟินเทคที่ให้บริการด้านการชำระเงินออนไลน์และผู้ที่ซื้อขายคริปโทเคอร์เรนซีอีกด้วย

การเลือกเป้าหมายดังกล่าวสอดคล้องกับแนวโน้มการโจมตีที่มุ่งเน้นประเทศในภูมิภาคอเมริกาใต้และอเมริกากลาง ซึ่งมีอัตราการใช้บริการธนาคารดิจิทัลเพิ่มสูงขึ้นอย่างรวดเร็ว ผู้โจมตีมักใช้ประโยชน์จากความไม่คุ้นเคยของผู้ใช้กับขั้นตอนความปลอดภัยออนไลน์



วิธีการป้องกันตัวจากมัลแวร์ประเภทนี้


ผู้ใช้งานควรตรวจสอบ URL ของหน้าเว็บก่อนกรอกข้อมูลหรือรันคำสั่งใด ๆ เสมอ หน้า CAPTCHA ที่แท้จริงจะไม่ขอให้ผู้ใช้รันคำสั่งหรือดาวน์โหลดไฟล์ นอกจากนี้ควรติดตั้งซอฟต์แวร์ป้องกันมัลแวร์ที่ทันสมัยและอัปเดตอยู่เสมอ

การเปิดใช้งานการยืนยันตัวตนสองขั้นตอนหรือ 2FA สำหรับบัญชีธนาคารและบัญชีคริปโทเคอร์เรนซีจะช่วยเพิ่มชั้นความปลอดภัยอีกชั้นหนึ่ง และไม่ควรคลิกลิงก์หรือดำเนินการใด ๆ บนหน้าเว็บที่ปรากฏขึ้นอย่างกะทันหัน โดยเฉพาะเมื่อมีการขอให้รันคำสั่งที่ไม่คุ้นเคย



Reference


The Hacker News

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th

แชทผ่าน LINEดูสินค้าทั้งหมด