มัลแวร์ RAT ผ่าน Windows Explorer เสี่ยงต่อความปลอดภัยของคริปโต

Cofense Intelligence เปิดเผยวิธีที่ผู้โจมตีใช้ประโยชน์จาก Windows File Explorer และเซิร์ฟเวอร์ WebDAV เพื่อหลบเลี่ยงความปลอดภัยของเบราว์เซอร์และส่ง RAT ไปยังเป้าหมายในองค์กร

ผู้โจมตีพบวิธีส่งมัลแวร์โดยตรงไปยังเครื่องคอมพิวเตอร์ในองค์กรโดยไม่ต้องผ่านเว็บเบราว์เซอร์เลยด้วยซ้ำ Cofense Intelligence ได้เผยแพร่ผลการค้นพบเมื่อวันที่ 25 กุมภาพันธ์ 2026 ซึ่งเป็นแคมเปญที่ใช้งานอยู่และใช้ความสามารถในตัวของ Windows File Explorer ในการเชื่อมต่อกับเซิร์ฟเวอร์ WebDAV ระยะไกล วิธีการนี้หลบเลี่ยงคำเตือนการดาวน์โหลดจากเบราว์เซอร์แบบเดิมอย่างสมบูรณ์ ผู้ใช้ส่วนใหญ่มักไม่รู้ว่า File Explorer สามารถเชื่อมต่อกับเซิร์ฟเวอร์อินเทอร์เน็ตได้

WebDAV เป็นโปรโตคอลการจัดการไฟล์บน HTTP ที่เก่าแก่และไม่ค่อยมีคนใช้งานในปัจจุบัน แต่ Windows ยังคงรองรับมันในตัวภายใน File Explorer ถึงแม้ Microsoft จะประกาศเลิกใช้งานฟีเจอร์นี้ในเดือนพฤศจิกายน 2023 ช่องว่างระหว่างการเลิกใช้งานและการลบออกอย่างสมบูรณ์คือสิ่งที่ผู้โจมตีใช้ประโยชน์

เมื่อโฟลเดอร์ไม่ใช่แค่โฟลเดอร์จริง

จากรายงานของ Cofense Intelligence พบว่าปริมาณแคมเปญแรกปรากฏในเดือนกุมภาพันธ์ 2024 และพุ่งสูงขึ้นอย่างรวดเร็วในเดือนกันยายน 2024 ตั้งแต่นั้นเป็นต้นมาแคมเปญยังคงดำเนินต่อไป การโจมตีไม่ได้ลดลง 87% ของรายงานภัยคุกคามที่เกี่ยวข้องกับกลยุทธ์นี้ส่งมอบ RAT ระยะไกลหลายตัวเป็น payload สุดท้าย เช่น XWorm RAT, Async RAT และ DcRAT เป็นกลุ่มที่พบได้บ่อยที่สุด

ต้องอ่าน: การละเมิดความปลอดภัยคริปโต: แฮกในเดือนมกราคมรวมมูลค่า 86 ล้านดอลลาร์, การฟิชชิ่งพุ่งสูงขึ้น

วิธีการทำงานของการโจมตีจริง

เหยื่อจะได้รับอีเมลฟิชชิ่ง ซึ่งมักปลอมเป็นใบแจ้งหนี้ในภาษาเยอรมัน อีเมลเหล่านี้จะมีไฟล์ URL shortcut (.url) หรือไฟล์ LNK shortcut (.lnk) ทั้งสองสามารถเปิดการเชื่อมต่อ WebDAV ภายใน File Explorer ได้อย่างเงียบ ๆ ผู้ใช้จะเห็นเหมือนเป็นโฟลเดอร์ในเครื่อง แต่แท้จริงแล้วไม่ใช่

สิ่งที่ทำให้การโจมตีนี้รุนแรงคือห่วงโซ่ที่ตามมา สคริปต์จะดาวน์โหลดสคริปต์เพิ่มเติมจากเซิร์ฟเวอร์ WebDAV แยกต่างหาก ไฟล์ที่ถูกต้องตามกฎหมายจะผสมผสานกับไฟล์ที่เป็นอันตรายเพื่อเบลอการตรวจจับ เมื่อ RAT ถูกส่งมาถึงเส้นทางการส่งมอบจะผ่านหลายชั้นของการซ่อนเร้น เครื่องมือด้านความปลอดภัยที่สแกนการดาวน์โหลดจากเบราว์เซอร์จะพลาดกระบวนการทั้งหมด

รายงานของ Cofense ระบุว่า 50% ของแคมเปญที่ได้รับผลกระทบเป็นภาษาเยอรมัน ส่วนแคมเปญภาษาอังกฤษคิดเป็น 30% ส่วนภาษาอิตาเลียนและสเปนเป็นส่วนที่เหลือ การแบ่งสัดส่วนนี้ชี้ให้เห็นว่ากลุ่มเป้าหมายหลักคือบัญชีอีเมลของบริษัทในยุโรป

คุณอาจสนใจ: npm Worm ขโมยกุญแจคริปโต เป้าหมาย 19 แพ็กเกจ

Cloudflare Tunnel ช่วยให้ผู้โจมตีทำงานหนักอยู่เบื้องหลัง โดยแคมเปญ ATR ทั้งหมดที่เกี่ยวข้องกับกลยุทธ์นี้ใช้บัญชีทดลองฟรีบน trycloudflare[.]com เพื่อโฮสต์เซิร์ฟเวอร์ WebDAV ที่เป็นอันตราย โครงสร้างพื้นฐานของ Cloudflare จะเป็นเส้นทางเชื่อมต่อของเหยื่อ ทำให้การจราจรดูเหมือนเป็นของแท้ในเบื้องต้น บัญชีทดลองเหล่านี้มีอายุสั้นตามดีไซน์ ทำให้ผู้โจมตีสามารถดึงออกได้อย่างรวดเร็วหลังจากแคมเปญเริ่มใช้งาน ทำให้การวิเคราะห์ทางนิติวิทยาศาสตร์เป็นไปได้ยากขึ้น

ทำไมผู้ถือคริปโตถึงเสี่ยงอย่างรุนแรง

จุดนี้เป็นสิ่งที่อันตรายสำหรับผู้ที่ถือครองสินทรัพย์ดิจิทัล RAT เช่น XWorm และ Async RAT ให้การเข้าถึงระยะไกลและถาวรแก่ผู้โจมตี เครื่องมือเหล่านี้สามารถเข้าถึงเนื้อหาในคลิปบอร์ด การใช้งานเบราว์เซอร์ การบันทึกรหัสผ่าน และไฟล์กระเป๋าเงินคริปโต ทั้งหมดอยู่ในมือของผู้โจมตี การโจรกรรมข้อมูลในคลิปบอร์ดซึ่งเชื่อมโยงกับการขโมยคริปโตมูลค่าหลายร้อยล้านดอลลาร์กลายเป็นเรื่องง่ายเมื่อ RAT ทำงานอยู่

การสูญเสียจากการฟิชชิ่งเพียงอย่างเดียวเกิน 300 ล้านดอลลาร์ในเดือนมกราคม 2026 ข้อมูลจากการติดตามความปลอดภัย ตัวเลขนี้สูงกว่าการโจมตีโปรโตคอลในช่วงเวลาเดียวกัน วิธีการโจมตีที่ Cofense บันทึกไว้เชื่อมโยงโดยตรงกับเส้นทางนี้ การปล่อย RAT ผ่าน WebDAV ไปยังเครื่องของพนักงานฝ่ายการเงินไม่ใช่แค่ปัญหาด้านไอทีในองค์กร แต่มันเป็นเส้นทางตรงสู่การสูญเสียเงินในกระเป๋าและกุญแจที่ถูกขโมย

นอกจากนี้ยังควรใส่ใจ: เมื่อภัยคุกคามเพิ่มขึ้น ความปลอดภัยของกระเป๋าเงินคริปโตจะเป็นสิ่งสำคัญอันดับต้น ๆ ในปี 2026

สิ่งที่องค์กรควรทำตอนนี้

รายงานของ Cofense แนะนำให้ค้นหาและตรวจจับการจราจรเครือข่ายไปยังตัวอย่าง Cloudflare Tunnel demo โดยเฉพาะ เครื่องมือ EDR ที่วิเคราะห์พฤติกรรมควรแจ้งเตือนไฟล์ .URL และ .LNK ที่เชื่อมต่อกับเซิร์ฟเวอร์ระยะไกล การแก้ไขที่ยากขึ้นคือการให้ความรู้แก่ผู้ใช้ ส่วนใหญ่ไม่รู้ว่าแถบที่อยู่ของ File Explorer ทำงานเหมือนเบราว์เซอร์

การตรวจสอบเช่นเดียวกับการตรวจสอบ URL ที่น่าสงสัยเป็นแนวทางแรกในการป้องกัน การใช้งานผ่าน FTP และ SMB ก็สามารถถูกใช้ในลักษณะเดียวกันได้ ทั้งสองโปรโตคอลนี้ใช้งานในองค์กรเป็นประจำและสามารถเชื่อมต่อกับเซิร์ฟเวอร์ภายนอกได้ โครงสร้างพื้นฐานการโจมตีที่ Cofense บันทึกไว้กว้างกว่าการใช้ WebDAV เท่านั้น

เกี่ยวข้อง: แฮกและเหตุการณ์ด้านความปลอดภัยในปี 2025: ปีที่เปิดเผยจุดอ่อนของคริปโต

รายละเอียดทางเทคนิคเต็มรูปแบบ รวมถึงตาราง IOC และตัวอย่างโดเมน Cloudflare Tunnel ที่เชื่อมโยงกับรายงานภัยคุกคามเฉพาะ สามารถดูได้ในรายงาน Cofense Intelligence ที่เผยแพร่ที่ cofense.com