ClickFix แฮกเกอร์ปลอมตัวเป็นบริษัทลงทุนเพื่อโจมตีผู้ใช้คริปโตเคอร์เรนซี, QuickLens ลักลอบขโมยข้อมูลเปิดเผย

บริษัทด้านความปลอดภัยทางไซเบอร์ Moonlock Lab ได้เผยแพร่รายงานเมื่อวันจันทร์ โดยเปิดเผยวิธีการโจมตีล่าสุดของแฮกเกอร์สกุลเงินดิจิทัลที่มีศูนย์กลางอยู่ที่เทคนิค “ClickFix” นักต้มตุ๋นปลอมตัวเป็นบริษัทร่วมทุนปลอม เช่น SolidBit และ MegaBit เพื่อเข้าถึงผู้ปฏิบัติงานด้านคริปโตบน LinkedIn เพื่อเสนอโอกาสในการร่วมมือ และในที่สุดก็ชักจูงให้เหยื่อดำเนินคำสั่งอันตรายบนเทอร์มินัลคอมพิวเตอร์ของตนเอง เพื่อขโมยทรัพย์สินคริปโต

การวิเคราะห์วิธีการโจมตีของ ClickFix: เปลี่ยนเหยื่อให้กลายเป็นผู้ดำเนินการโจมตี

นวัตกรรมหลักของเทคนิค ClickFix อยู่ที่การพลิกโฉมเส้นทางการติดเชื้อของมัลแวร์แบบเดิมอย่างสิ้นเชิง โดยทั่วไป กระบวนการโจมตีประกอบด้วยขั้นตอนดังนี้:

ระยะที่ 1 (นักสังคมสงเคราะห์บน LinkedIn): แฮกเกอร์ติดต่อเป้าหมายในนามของบริษัทร่วมทุนปลอม เสนอโอกาสทางธุรกิจที่ดูเหมือนถูกต้องตามกฎหมาย เพื่อสร้างความไว้วางใจเบื้องต้น

ระยะที่ 2 (ลิงก์วิดีโอปลอม): ชักชวนเป้าหมายไปยังลิงก์หลอกลวงที่ปลอมตัวเป็น Zoom หรือ Google Meet เพื่อเข้าสู่ “หน้ากิจกรรม” ปลอม

ระยะที่ 3 (การจี้คลิปบอร์ด): หน้าเว็บแสดงกล่องยืนยัน Cloudflare “ฉันไม่ใช่หุ่นยนต์” ปลอม เมื่อคลิกแล้ว คำสั่งอันตรายจะถูกคัดลอกไปยังคลิปบอร์ดของผู้ใช้โดยเงียบๆ

ระยะที่ 4 (การดำเนินการด้วยตนเอง): แจ้งให้ผู้ใช้เปิดเทอร์มินัลคอมพิวเตอร์และวาง “รหัสยืนยัน” ซึ่งแท้จริงคือคำสั่งโจมตีที่กำลังดำเนินการอยู่

ทีมวิจัยของ Moonlock Lab ชี้ให้เห็นว่า “ความสามารถของเทคนิค ClickFix อยู่ที่การเปลี่ยนเหยื่อให้กลายเป็นกลไกการดำเนินการโจมตีเอง การให้เหยื่อตั้งใจวางและดำเนินคำสั่งด้วยตนเอง ทำให้ผู้โจมตีสามารถข้ามการป้องกันหลายชั้นที่วงการความปลอดภัยสร้างขึ้นในหลายปีที่ผ่านมา โดยไม่ต้องอาศัยช่องโหว่หรือการดาวน์โหลดไฟล์ที่น่าสงสัย”

รายละเอียดเหตุการณ์การจี้ QuickLens และรายการฟังก์ชันอันตราย

กรณีการจี้ QuickLens แสดงให้เห็นอีกหนึ่งช่องทางการโจมตี คือ การโจมตีแบบซัพพลายเชนต่อผู้ใช้งานที่มีอยู่แล้ว:

• 1 กุมภาพันธ์: การเปลี่ยนเจ้าของส่วนขยาย QuickLens (การโอนกรรมสิทธิ์)
• สองสัปดาห์ต่อมา: เจ้าของใหม่ปล่อยเวอร์ชันอัปเดตที่มีสคริปต์อันตราย
• 23 กุมภาพันธ์: นักวิจัยด้านความปลอดภัย Tuckner เปิดเผยว่าส่วนขยายถูกถอดออกจาก Chrome Web Store

รายการฟังก์ชันอันตรายประกอบด้วย:

• ค้นหาและขโมยข้อมูลกระเป๋าเงินคริปโตและวลีเมล็ดพันธุ์ (Seed Phrase)
• ขูดข้อมูลในกล่องจดหมาย Gmail ของผู้ใช้
• ขโมยข้อมูลช่อง YouTube
• จับข้อมูลการเข้าสู่ระบบและข้อมูลการชำระเงินที่กรอกในแบบฟอร์มบนเว็บไซต์

จากรายงานของ eSecurity Planet ส่วนขยายที่ถูกจี้นี้ได้ติดตั้งโมดูลการโจมตี ClickFix รวมถึงเครื่องมือขโมยข้อมูลอื่นๆ ซึ่งแสดงให้เห็นว่าผู้ควบคุมอยู่เบื้องหลังมีความสามารถในการใช้งานเครื่องมือหลายชนิดร่วมกัน

ภูมิหลังของภัยคุกคามในวงกว้างของ ClickFix

Moonlock Lab ชี้ให้เห็นว่าเทคนิค ClickFix ได้รับความนิยมอย่างรวดเร็วในกลุ่มผู้คุกคามตั้งแต่ปี 2025 โดยจุดเด่นอยู่ที่การใช้พฤติกรรมของมนุษย์เป็นฐานในการโจมตี แทนที่จะอาศัยช่องโหว่ของซอฟต์แวร์ ซึ่งช่วยหลีกเลี่ยงกลไกการตรวจจับของเครื่องมือด้านความปลอดภัยแบบเดิมอย่างสิ้นเชิง

ในเดือนสิงหาคม 2025 แผนกข่าวกรองภัยคุกคามของ Microsoft ได้เตือนว่าพวกเขายังคงติดตาม “กิจกรรมการโจมตีรายวันที่มุ่งเป้าไปยังองค์กรและอุปกรณ์ปลายทางหลายพันแห่งทั่วโลก” ขณะที่รายงานของบริษัท Unit42 ในเดือนกรกฎาคม 2025 ยืนยันว่า ClickFix ส่งผลกระทบต่ออุตสาหกรรมหลายกลุ่ม เช่น การผลิต การค้าส่งและค้าปลีก รัฐบาลระดับรัฐและท้องถิ่น รวมถึงพลังงานและสาธารณูปโภค ซึ่งมากกว่าภาคคริปโตเคอร์เรนซีเพียงอย่างเดียว

คำถามที่พบบ่อย

ทำไมการโจมตีด้วย ClickFix จึงสามารถหลบเลี่ยงซอฟต์แวร์ป้องกันไวรัสและความปลอดภัยได้สำเร็จ?
แนวคิดการออกแบบของซอฟต์แวร์ป้องกันไวรัสแบบเดิมคือการตรวจจับและบล็อกโปรแกรมที่น่าสงสัยโดยอัตโนมัติ ความก้าวหน้าของ ClickFix อยู่ที่การทำให้ “มนุษย์” กลายเป็นผู้ดำเนินการโจมตี โดยเหยื่อเป็นผู้ป้อนและดำเนินคำสั่งเอง แทนที่จะเป็นมัลแวร์ที่ฝังตัวเองโดยอัตโนมัติ ซึ่งทำให้เครื่องมือด้านความปลอดภัยที่เน้นการตรวจจับพฤติกรรมยากที่จะระบุว่าเป็นภัยคุกคาม เนื่องจากเทอร์มินัลดูเหมือนจะเป็นการใช้งานของผู้ใช้ตามปกติ

จะรับรู้การโจมตีแบบวิศวกรรมสังคมของ ClickFix ได้อย่างไร?
สัญญาณสำคัญได้แก่ การได้รับข้อเสนอความร่วมมือทางธุรกิจจากบัญชี LinkedIn ที่ไม่คุ้นเคย การถูกขอให้ป้อน “รหัสยืนยัน” หรือ “ขั้นตอนการแก้ไข” หลังจากคลิกลิงก์ประชุม คำแนะนำใดๆ ที่ขอให้เปิดเทอร์มินัลและวางรหัส รวมถึงหน้าเว็บปลอมที่ปลอมตัวเป็น Cloudflare หรือ CAPTCHA การรักษาความปลอดภัยคือ: บริการที่ถูกต้องตามกฎหมายจะไม่เคยขอให้ผู้ใช้ดำเนินการคำสั่งในเทอร์มินัลเพื่อยืนยันตัวตน

ผู้ใช้ QuickLens ควรดำเนินการอะไรในตอนนี้?
หากคุณติดตั้งส่วนขยาย QuickLens อยู่ ควรลบออกจากเบราว์เซอร์ทันที และเปลี่ยนกระเป๋าเงินคริปโตที่อาจได้รับผลกระทบ (สร้างวลีเมล็ดพันธุ์ใหม่และโอนเงินไปยังกระเป๋าเงินใหม่) รวมทั้งรีเซ็ตบัญชี Gmail และรหัสผ่านอื่นๆ ที่เกี่ยวข้อง ควรตรวจสอบและระมัดระวังส่วนขยายเบราว์เซอร์ที่ติดตั้งใหม่ และให้ความสนใจกับส่วนขยายที่มีการเปลี่ยนเจ้าของล่าสุดอย่างใกล้ชิด