Interlock Ransomware ใช้การโจมตีหลายขั้นตอนผ่านเว็บไซต์ที่ถูกกฎหมายเพื่อส่งการอัปเดตเบราว์เซอร์ที่เป็นอันตราย

Interlock Ransomware ใช้การโจมตีหลายขั้นตอนผ่านเว็บไซต์ที่ถูกกฎหมายเพื่อส่งการอัปเดตเบราว์เซอร์ที่เป็นอันตราย

แรนซัมแวร์ในนาม “Interlock” กำลังแสดงพลังโจมตีที่มีความซับซ้อนและเป็นอันตรายด้วยวิธีทำงานแบบหลายขั้นตอน (multi-stage attack) โดยเริ่มต้นจากการแฮ็กเข้าควบคุมเว็บไซต์ที่มีความน่าเชื่อถือ เพื่อแจกจ่ายการอัปเดตเบราว์เซอร์ปลอมให้แก่ผู้ใช้ที่ไม่ระวัง ซึ่งขั้นตอนแรกของการติดเชื้อเกิดจากการโกงผ่านวิธี social engineering ให้ผู้ใช้ดาวน์โหลดไฟล์อัปเดตปลอมที่ถูกสร้างขึ้นจาก PyInstaller เมื่อผู้ใช้คลิกเปิดไฟล์นี้ ระบบจะทำการดาวน์โหลดตัวติดตั้งเบราว์เซอร์ที่ถูกต้อง (อย่างเช่น Chrome หรือ Microsoft Edge) ขณะเดียวกันก็รันสคริปต์ PowerShell ที่ฝังไว้อย่างลับๆ เพื่อเปิด backdoor เข้าไปในเครื่องด้วย

จากการวิเคราะห์พบว่าสคริปต์ PowerShell ที่ถูกแทรกเข้ามานั้นจะดำเนินงานในรูปแบบวนซ้ำอย่างต่อเนื่อง ส่ง HTTP request ไปยังเซิร์ฟเวอร์ควบคุม (C2) เพื่อรวบรวมข้อมูลของระบบ รายละเอียดที่ถูกดึงออกจากเครื่องประกอบด้วย ข้อมูลเกี่ยวกับผู้ใช้ รายละเอียดระบบ กระบวนการที่รันอยู่ บริการที่ทำงาน และการตั้งค่าเครือข่าย เป็นต้น ข้อมูลเหล่านี้จะถูกเข้ารหัสแบบ XOR ด้วยคีย์ที่กำหนดไว้ จากนั้นค่อยบีบอัดด้วย Gzip และส่งกลับไปยังเซิร์ฟเวอร์ควบคุม นอกจากนี้ นักวิเคราะห์ยังพบว่ามีการพัฒนาสคริปต์ดังกล่าวไปเป็นหลายเวอร์ชัน จนถึงระดับเวอร์ชัน 11 ซึ่งในเวอร์ชันหลัง ๆ ได้เพิ่มกลไกความต่อเนื่องในการรันโปรแกรมหลังจากรีบูตเครื่องด้วยการสร้าง registry entries

อีกทั้งกลุ่มผู้โจมตียังได้เปลี่ยนแนวทางจากการล่อลวงให้ดาวน์โหลดอัปเดตเบราว์เซอร์ปลอม ไปสู่การปลอมตัวเป็นโปรแกรมอัปเดตของซอฟต์แวร์รักษาความปลอดภัยอย่าง FortiClient, Ivanti Secure Access Client, และ GlobalProtect เพื่อขยายขอบเขตการโจมตี กลุ่มนี้ไม่ได้ประกาศเปิดตัวในรูปแบบ Ransomware-as-a-Service (RaaS) แต่กลับเลือกที่จะดำเนินการเองอย่างลับๆ พร้อมทั้งจัดการเว็บไซต์สำหรับรั่วไหลข้อมูลของเหยื่อภายใต้ชื่อ “Worldwide Secrets Blog” เพื่อเปิดเผยข้อมูลและเจรจาต่อรองค่าชำระคืน

ถึงแม้จำนวนเหยื่อที่เกิดจากแรนซัมแวร์ Interlock จะน้อยกว่าแรนซัมแวร์บางกลุ่ม (มีเพียง 24 รายตั้งแต่กันยายน 2024 โดยในปี 2025 มีเพียง 6 ราย) แต่แนวทางการโจมตีและการพัฒนาเทคนิคของพวกเขายังคงเป็นที่น่าติดตามและอาจก่อให้เกิดความเสี่ยงสูงต่อองค์กรต่าง ๆ ที่มีส่วนร่วมทั้งในภูมิภาคอเมริกาเหนือและยุโรป ข่าวนี้เป็นการเตือนให้เห็นถึงความท้าทายของการจัดการความปลอดภัยในยุคดิจิทัล ที่แฮกเกอร์มีการปรับปรุงวิธีการโจมตีอย่างต่อเนื่องและแฝงตัวอยู่ภายใต้การใช้งานบริการที่มีความน่าเชื่อถือ จึงจำเป็นที่องค์กรต่าง ๆ ควรมีมาตรการตรวจจับและป้องกันที่เข้มงวดอยู่เสมอ

ที่มา: Cybersecuritynews

ติดต่อสอบถามเกี่ยวกับผลิตภัณฑ์ AntiVirus, DLP, MDM, Laptop, PC, Server, และผลิตภัณฑ์ไอทีอื่นๆอีกมากมายทั้ง Hardware และ Software พร้อมเสนอราคาที่คุ้มค่าและการบริการที่เปี่ยมประสิทธิภาพ

Mobile: 09 5368 5898

Tel: 0 2093 1625

Fax: 0 2093 1675 (Auto)

Email: sales@ampomicrosys.com