DeepLoad เป็นภัยคุกคาม “เร่งด่วน” ที่องค์กรต้องเฝ้าติดตามอย่างใกล้ชิด
ภัยคุกคามไซเบอร์รูปแบบใหม่ที่กำลังสร้างความกังวลใจอย่างมากให้กับองค์กรทั่วโลกและเป็นที่น่าจับตามองในขณะนี้คือ DeepLoad Malware ที่รวมเทคนิค ClickFix เข้ากับการใช้โค้ดที่สร้างด้วย AI เพื่อหลบเลี่ยงการตรวจจับ
เป้าหมายหลักของการโจมตีคือการขโมยบัญชีผู้ใช้งานและรหัสผ่านในองค์กร พร้อมสร้างการเข้าถึงระบบอย่างต่อเนื่องให้กับแฮกเกอร์
มัลแวร์นี้ยังมีความสามารถพิเศษในการซ่อนกลไกที่ช่วยให้มันสามารถกลับมาทำงานได้อีกครั้ง แม้จะถูกลบออกไปแล้วก็ตาม นักวิจัยจึงลงความเห็นว่า DeepLoad เป็นภัยคุกคาม “เร่งด่วน” ที่องค์กรต้องเฝ้าติดตามอย่างใกล้ชิด
มัลแวร์ DeepLoad ปรากฏครั้งแรกในตลาดมืด (dark web) ช่วงเดือนกุมภาพันธ์ที่ผ่านมา โดยในช่วงแรกได้ออกปฏิบัติการโดยมุ่งเน้นไปที่การขโมยกระเป๋าเงินคริปโตเคอร์เรนซี
แต่ปัจจุบันได้ขยายเป้าหมายมายังข้อมูลบัญชีผู้ใช้ในองค์กรซึ่งสะท้อนให้เห็นถึงแนวโน้มการโจมตีที่กว้างขึ้น ในแคมเปญการโจมตีนี้ได้เลือกใช้เทคนิค ClickFix ซึ่งเป็นวิธี Social Engineering ที่หลอกให้ผู้ใช้งานรันคำสั่งอันตรายด้วยตนเอง
โดยมักเริ่มต้นจากลิงก์หรือไฟล์ที่ถูกส่งผ่านเว็บไซต์ปลอม หรือผลการค้นหาที่ถูกปรับแต่ง (SEO poisoning) ระหว่างที่ผู้ใช้งานกำลังค้นหาหรือดาวน์โหลดข้อมูลที่เกี่ยวข้องกับงาน
หนึ่งในจุดเด่นสำคัญของ DeepLoad คือการใช้ AI ช่วยสร้างโค้ดเพื่อหลบเลี่ยงการตรวจจับ โดยโค้ดอันตรายจะถูกซ่อนอยู่ภายใต้ชุดคำสั่งที่ดูเหมือนไม่มีความหมาย ทำให้เครื่องมือสแกนแบบทั่วไปไม่สามารถตรวจพบได้ง่าย และด้วยจำนวนโค้ดที่ซับซ้อนและมีโครงสร้างแบบสม่ำเสมอจึงบ่งชี้ได้ว่า มีการใช้ AI ในการพัฒนา
ข้อดีหลักๆ คือช่วยลดเวลาในการสร้างมัลแวร์จากหลายวันเหลือเพียงไม่กี่ชั่วโมงเท่านั้น อีกทั้งยังสามารถปรับเปลี่ยนรูปแบบโค้ดได้ตลอดเวลา ส่งผลให้การตรวจจับความผิดปกติที่อาจเกิดขึ้นในอนาคตยิ่งทำได้ยากมากขึ้น องค์กรจึงต้องเตรียมรับมือกับการอัพเดทมัลแวร์ที่เกิดขึ้นอย่างรวดเร็ว
นอกจากนี้ DeepLoad ยังถูกออกแบบมาให้กลมกลืนกับการทำงานปกติของระบบวินโดวส์โดยแฝงตัวอยู่ในกระบวนการล็อคหน้าจอซึ่งเป็นจุดที่เครื่องมือรักษาความปลอดภัยมักไม่ตรวจสอบอย่างเข้มงวด
อีกทั้งยังใช้ช่องโหว่ของ Windows Management Instrumentation (WMI) เพื่อสร้างกลไกการคงอยู่ในระบบ หากมัลแวร์ถูกลบออก มันสามารถกลับมาติดเครื่องได้อีกภายใน 3 วัน พร้อมกลับมาขโมยรหัสผ่านและ session token ได้อีกครั้ง
ขณะเดียวกันยังพบว่า มีการแพร่กระจายมัลแวร์ผ่าน USB ซึ่งเพิ่มความเสี่ยงในการกระจายสู่ผู้ใช้งานรายอื่นๆ ได้อีกด้วย
ดังนั้นเพื่อป้องกันภัยจาก DeepLoad ผู้รับผิดชอบดูแลระบบควรเปิดใช้งานฟีเจอร์ด้านความปลอดภัย PowerShell Script Block Logging เพื่อช่วยเพิ่มการมองเห็นความเคลื่อนไหวในระบบ ตรวจจับการโจมตี และสามารถย้อนดูคำสั่งที่แฮกเกอร์ใช้ในระบบหากถูกโจมตี
นอกจากนี้ต้องตรวจสอบการใช้งาน WMI ในเครื่องที่มีความเสี่ยงและหากพบการติดมัลแวร์ ควรเปลี่ยนรหัสผ่านของผู้ใช้งานทันที และอีกประเด็นที่สำคัญคือ องค์กรต้องปรับแนวทางการป้องกันให้เน้นพฤติกรรมของมัลแวร์มากกว่าการพึ่งพารูปแบบเดิมๆ
เนื่องจาก DeepLoad มีแนวโน้มพัฒนาอย่างต่อเนื่องและสามารถปรับตัวได้รวดเร็วตามช่องโหว่ที่ถูกปิดไปครับ