Multi-Stage Malware โจมตีด้วย .JSE และ PowerShell ขโมยข้อมูลแบบเงียบๆ

April 21, 2025

Multi-Stage Malware 2025 เบื้องหลังการโจมตีผ่าน .JSE และ PowerShell ที่ลึกและอันตรายกว่าที่คิด

ในปี 2025 นี้ โลกไซเบอร์ยังคงเต็มไปด้วยความท้าทายด้านความมั่นคงของข้อมูล ล่าสุด ผู้เชี่ยวชาญด้านความปลอดภัยได้ตรวจพบการโจมตีที่มีความซับซ้อนสูงขึ้น โดยใช้กลไกหลายขั้นตอน (multi-stage attack) ในการหลบเลี่ยงระบบตรวจจับแบบดั้งเดิม จุดเริ่มต้นของการโจมตีนี้คือการส่งไฟล์ .jse ที่แนบมากับอีเมลฟิชชิ่ง ก่อนจะนำเข้าสู่กระบวนการสั่งการผ่าน PowerShell และจบลงด้วยการติดตั้งมัลแวร์ชื่อดังสองชนิด ได้แก่ Agent Tesla และ XLoader

การทำงานของมัลแวร์แบบหลายขั้นตอน

การโจมตีในลักษณะนี้ไม่ใช่แค่การส่งไฟล์อันตรายมาเพียงชั้นเดียว แต่เป็นการจัดลำดับขั้นตอนอย่างแนบเนียน เริ่มจากผู้ใช้งานได้รับอีเมลที่มีไฟล์แนบ .jse ซึ่งดูเหมือนเอกสารทั่วไป เมื่อเปิดไฟล์นั้น ระบบจะสั่งรัน PowerShell เพื่อดาวน์โหลดมัลแวร์จากแหล่งภายนอกโดยอัตโนมัติ โดยที่ผู้ใช้งานไม่รู้ตัว ซึ่งมัลแวร์ที่ถูกติดตั้งนั้นสามารถทำงานในเบื้องหลังเพื่อดักจับข้อมูลส่วนตัว ส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ของผู้โจมตีได้อย่างต่อเนื่อง

ทำความเข้าใจ .JSE และเหตุผลที่ถูกนำมาใช้

ไฟล์ .jse หรือ JScript Encoded Script File คือไฟล์ที่บรรจุสคริปต์แบบเข้ารหัส ซึ่งสามารถสั่งการ Windows Script Host (WSH) ให้ทำงานตามคำสั่งภายในได้ จุดแข็งของมันคือความสามารถในการรันคำสั่งระบบได้เหมือน PowerShell แต่มีโครงสร้างภายนอกที่ดูเหมือนไม่มีพิษภัย ทำให้สามารถหลอกให้ผู้ใช้ทั่วไปเปิดใช้งานได้ง่ายกว่าการแนบไฟล์ .exe หรือ .bat ซึ่งอาจถูกระบบตรวจจับได้เร็วกว่า

รู้จัก Agent Tesla และ XLoader มัลแวร์ที่ซ่อนอยู่ในเงามืด

มัลแวร์ Agent Tesla มีชื่อเสียงมายาวนานในฐานะเครื่องมือสำหรับการดักข้อมูลรหัสผ่าน โดยเฉพาะจากเบราว์เซอร์ อีเมล และโปรแกรม FTP ที่ผู้ใช้ติดตั้งไว้ ข้อมูลทั้งหมดที่ถูกดึงออกมา จะถูกส่งกลับไปยังเซิร์ฟเวอร์ของแฮกเกอร์ทันที ส่วน XLoader นั้นเป็นมัลแวร์ระดับสูงที่มักถูกใช้ในรูปแบบ Remote Access Trojan (RAT) ซึ่งไม่เพียงแค่ดักจับข้อมูล แต่สามารถสั่งการเครื่องเหยื่อจากระยะไกลได้อีกด้วย

จุดอ่อนที่แฮกเกอร์ใช้ให้กลายเป็นจุดแข็ง

ปัจจัยที่ทำให้มัลแวร์นี้ประสบความสำเร็จในการเจาะระบบได้อย่างเงียบเชียบ คือการใช้เครื่องมือที่ “ดูเหมือนไม่มีพิษภัย” เช่น PowerShell ซึ่งเป็นโปรแกรมที่มากับ Windows ทุกเครื่อง และถูกใช้งานในงานด้าน IT อยู่แล้ว แฮกเกอร์อาศัยจุดนี้ฝังคำสั่งภายในให้ PowerShell ทำหน้าที่โหลดมัลแวร์ต่ออีกขั้น เป็นการลัดเลาะเข้าไปยังระบบโดยไม่ถูกตรวจพบในเบื้องต้น

แนวทางการป้องกันที่ควรรู้

แม้มัลแวร์ชนิดนี้จะซับซ้อน แต่ผู้ใช้งานทั่วไปและองค์กรสามารถป้องกันได้ด้วยการเพิ่มความระมัดระวังในการเปิดไฟล์แนบจากอีเมลที่ไม่น่าไว้ใจ อีกทั้งการปิดการใช้งาน Windows Script Host หรือจำกัดสิทธิ์การรัน PowerShell ก็เป็นวิธีที่มีประสิทธิภาพในการลดความเสี่ยง นอกจากนี้การติดตั้งระบบป้องกันแบบ EDR และระบบแจ้งเตือนจากการใช้งาน PowerShell ยังช่วยให้ตรวจจับความผิดปกติได้เร็วขึ้นมาก

สรุป ภัยร้ายที่ซ่อนอยู่ในความธรรมดา

บทเรียนที่เราได้จากกรณีนี้คือ “ภัยคุกคามที่น่ากลัวที่สุด มักมาในรูปแบบที่คาดไม่ถึงที่สุด” ไฟล์ .jse ที่ดูเหมือนไม่อันตราย กลับกลายเป็นจุดเริ่มต้นของการควบคุมเครื่องแบบเบ็ดเสร็จ สิ่งที่จำเป็นไม่ใช่เพียงแค่ซอฟต์แวร์ป้องกัน แต่คือการสร้างวินัยการใช้งานและความรู้ที่เท่าทัน

คุณเคยได้รับอีเมลที่แนบไฟล์แปลก ๆ ไหม? แชร์บทความนี้ให้เพื่อนหรือเพื่อนร่วมงานที่อาจตกเป็นเหยื่อของการโจมตีลักษณะนี้ได้ และหากคุณดูแลระบบองค์กร อย่าลืมตรวจสอบการตั้งค่า PowerShell และสคริปต์ที่อาจรันโดยไม่ได้รับอนุญาต การรู้เท่าทันคือเกราะที่ดีที่สุด

Post Views: 51