นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์จาก CloudSEK เปิดเผยถึงแคมเปญมัลแวร์ขั้นสูงที่แอบอ้างเป็นเว็บไซต์
PDFCandy[.]com เพื่อหลอกลวงให้ผู้ใช้งานดาวน์โหลดมัลแวร์ขโมยข้อมูลที่ชื่อ ArechClient2 ซึ่งอยู่ในตระกูล
SectopRAT และมีการใช้งานมาตั้งแต่ปี 2019 โดยอาศัยกลยุทธ์โฆษณาหลอกบน Google Ads
หรือการอัปเดตซอฟต์แวร์ปลอมเพื่อกระจายมัลแวร์ไปยังเครื่องเหยื่ออย่างแนบเนียน
จุดมุ่งหมายหลักคือการขโมยข้อมูลส่วนตัว เช่น รหัสผ่านและชื่อผู้ใช้จากเว็บเบราว์เซอร์
เว็บไซต์ปลอมดังกล่าวถูกออกแบบให้มีลักษณะเกือบเหมือนกับของจริงทุกประการ ตั้งแต่โดเมนเนมที่คล้ายกัน
ไปจนถึงหน้าตาและการใช้งาน ทำให้ผู้ใช้เข้าใจผิดว่าเป็นเว็บไซต์ PDFCandy[.]com ตัวจริง
โดยทันทีที่ผู้ใช้เข้าหน้าเว็บไซต์ ก็จะถูกเชิญชวนให้อัปโหลดไฟล์ PDF เพื่อแปลงเป็น DOCX
พร้อมแสดงภาพโหลดปลอมเพื่อสร้างความน่าเชื่อถือ จากนั้นจะมี CAPTCHA
ปลอมเพื่อให้ดูเหมือนมีระบบรักษาความปลอดภัย
แต่แท้จริงแล้วเป็นขั้นตอนสำคัญในการเปลี่ยนจากการหลอกลวงเชิงจิตวิทยา (social engineering)
ไปสู่การโจมตีระบบโดยตรง โดยเว็บไซต์ปลอมจะให้ผู้ใช้รันคำสั่งผ่าน PowerShell ซึ่งนำไปสู่การดาวน์โหลดไฟล์
“adobe[.]zip” ที่บรรจุไฟล์รันมัลแวร์ชื่อ “audiobitexe” อยู่ภายใน
สำนักงานสืบสวนกลางของสหรัฐฯ (FBI) เคยเตือนเมื่อวันที่ 17 มีนาคม 2025
เกี่ยวกับการใช้เว็บไซต์แปลงไฟล์ออนไลน์ในการแพร่กระจายมัลแวร์
โดยอาชญากรไซเบอร์มักแฝงตัวอยู่ในบริการฟรีที่ให้แปลงไฟล์หรือดาวน์โหลดเพลงและวิดีโอ ไม่ว่าจะเป็น PDF,
DOCX หรือ MP3 ก็ตาม ทั้งนี้ ผู้ใช้งานควรเพิ่มความระมัดระวังในการใช้งานเว็บไซต์แปลงไฟล์ออนไลน์ ตรวจสอบ
URL อย่างละเอียดก่อนอัปโหลดไฟล์ และหลีกเลี่ยงการทำตามคำสั่งที่ไม่คุ้นเคยหรือดูน่าสงสัย
เพื่อป้องกันความเสี่ยงจากการติดมัลแวร์โดยไม่รู้ตัว
Tag: #เตือนภัยออนไลน์ #PDF #เว็บแปลงไฟล์ #มัลแวร์
ที่มา :
https://www.thaicert.or.th/2025/04/17/%e0%b9%80%e0%b8%95%e0%b8%b7%e0%b8%a
d%e0%b8%99%e0%b8%a0%e0%b8%b1%e0%b8%a2-
%e0%b9%80%e0%b8%a7%e0%b9%87%e0%b8%9a%e0%b9%84%e0%b8%8b%e0%b8
%95%e0%b9%8c%e0%b9%81%e0%b8%9b%e0%b8%a5%e0%b8%87%e0%b9%84%e0
%b8%9f/
