มัลแวร์ใหม่ “GPUGate” แพร่ผ่านโฆษณาปลอม

วันที่โพส 26 ก.ย. 2568 ผู้ชม 56

มัลแวร์ใหม่ “GPUGate” แพร่ผ่านโฆษณาปลอม — เล็งกลุ่มไอทีด้วยกลวิธีสุดซับซ้อน

กรุงเทพฯ / 26 กันยายน 2025 — นักวิจัยทางด้านไซเบอร์เผยแคมเปญมัลแวร์รูปแบบใหม่ชื่อ “GPUGate” (จีพียูเกต) ซึ่งใช้โฆษณาออนไลน์ปลอม (malvertising) ร่วมกับเทคนิคแอบอ้าง GitHub เพื่อหลอกให้ผู้ใช้งานดาวน์โหลดซอฟต์แวร์อันตราย โดยเฉพาะกลุ่มผู้พัฒนาโปรแกรมหรือเจ้าหน้าที่ไอที

จุดเริ่มต้นของการโจมตี

• แฮกเกอร์ซื้อพื้นที่โฆษณใน Google Ads ให้ปรากฏในผลค้นหาที่ผู้ใช้มองว่าเป็นโฆษณา “ที่น่าเชื่อถือ” เมื่อผู้ใช้ค้นคำว่า “GitHub Desktop” หรือซอฟต์แวร์ที่เกี่ยวข้อง

• โฆษณานั้นลิงก์ไปยัง URL ที่ดูเหมือนมาจาก GitHub จริง แต่ฝัง commit ที่ถูกแก้ไขไว้ให้มีลิงก์ดาวน์โหลดมัลแวร์ ซึ่งดูเหมือน “หน้าซอฟต์แวร์อย่างเป็นทางการ” 

• เมื่อลิงก์ถูกคลิก ผู้ใช้จะถูกเปลี่ยนเส้นทาง (redirect) ไปยังโดเมนปลอมหรือโดเมนที่ผู้โจมตีควบคุม เช่น gitpage[.]app ซึ่งให้ไฟล์ติดตั้งที่แฝงมัลแวร์มาแทนโปรแกรมจริง 

สิ่งที่ทำให้ GPUGate แตกต่าง — กลไก GPU-Gated Decryption

GPUGate ไม่ใช่มัลแวร์ธรรมดา — มันมีการเข้ารหัสที่ขึ้นอยู่กับ ฮาร์ดแวร์ GPU:

• ตัวติดตั้ง (installer) เป็นไฟล์ Microsoft Installer (.MSI) ขนาดราว 128 MB ซึ่งมีไฟล์ปลอม (dummy files) จำนวนมากเพื่อให้ไฟล์ใหญ่มากจนหลายระบบ sandbox หรือระบบวิเคราะห์อัตโนมัติไม่สามารถประมวลผลได้

• เมื่อไฟล์ถูกเปิดใช้งาน มัลแวร์จะตรวจสอบว่าระบบมี GPU จริงหรือไม่ และชื่ออุปกรณ์ (device name) มีความยาวอย่างน้อย 10 ตัวอักษร — ถ้าไม่ตรงตามเงื่อนไข มันจะไม่ถอดรหัส payload หรือยุติการทำงาน เพื่อหลีกเลี่ยงการทำงานในระบบทดสอบหรือ sandbox 

• ถ้าผ่านเงื่อนไขนี้ มันจะถอดรหัส payload ที่ซ่อนอยู่ จากนั้นรัน Visual Basic Script → PowerShell ด้วยสิทธิ์แอดมิน → กำหนด exclusion ใน Microsoft Defender → สร้าง scheduled task เพื่อทำให้สามารถอยู่ในระบบได้ถาวร → ดำเนินการดาวน์โหลด payload เสริม และขโมยข้อมูลตามจุดประสงค์ของผู้โจมตี 

กลุ่มเป้าหมาย & พิสัยการโจมตี

• แคมเปญนี้มุ่งเป้าไปยัง องค์กรไอที / บริษัทซอฟต์แวร์ ในภูมิภาค ยุโรปตะวันตก เป็นหลัก 

• โฆษณามีการกำหนดกลุ่มเป้าหมายเฉพาะ (geofencing) ใช้คำที่เกี่ยวกับการพัฒนาโปรแกรม คำค้นแบบเทคนิค และจัดให้อยู่ในหมวด “คอมพิวเตอร์ / อุปกรณ์อิเล็กทรอนิกส์” เพื่อเพิ่มความเชื่อถือ 

• สำหรับผู้ใช้ macOS — พบว่ามีการแจก AMOS Stealer (หรือ Atomic Stealer) ผ่านเวอร์ชันที่เหมาะสมกับ macOS (x64 หรือ ARM) เพื่อขโมยข้อมูลเช่นรหัสผ่านจาก Keychain, ข้อมูลเบราว์เซอร์, ไฟล์ต่าง ๆ ฯลฯ 

ผลกระทบ & อันตราย

• หากผู้ใช้อยู่ภายใต้การโจมตีสำเร็จ อาจเกิดการเข้าถึงสิทธิระดับสูงภายในระบบ (privilege escalation) และการเคลื่อนที่ภายในเครือข่าย (lateral movement) 

• ภัยที่เกี่ยวข้องอาจรวมถึง ขโมยข้อมูลสำคัญ เช่น รหัสผ่าน, คีย์ API, ข้อมูลภายในองค์กร, ข้อมูลทางการเงิน หรือแม้กระทั่งการปล่อย ransomware ตามมา 

• เนื่องจากเทคนิค GPU-gated decryption ทำให้ระบบวิเคราะห์อัตโนมัติมีความยากขึ้นอย่างมาก นักวิเคราะห์และผลิตภัณฑ์ด้านความปลอดภัยทั่วไปอาจไม่สามารถจับพฤติกรรมได้ง่าย ๆ 

คำแนะนำเพื่อป้องกัน & ตรวจจับ

1. หลีกเลี่ยงการดาวน์โหลดผ่านโฆษณา / ลิงก์ส่งเสริมการขาย
    ให้เข้าเว็บทางการ เช่น GitHub (github.com) แล้วไปที่หน้า Releases แทนการคลิกลิงก์โฆษณา

2. ตรวจสอบ URL และ Commit Context
    อย่าเชื่อ URL ที่อยู่ใน commit view หรือ README ที่ฝังลิงก์ — ให้สังเกตแถบแจ้งว่าคุณกำลังดู commit เดียว (single commit) และตรวจสอบลิงก์ก่อนคลิก 

3. ใช้โซลูชัน EDR / การวิเคราะห์พฤติกรรม
    ตรวจจับการรัน PowerShell / VBScript ที่ผิดปกติ การสร้าง scheduled task แบบไม่ปกติ หรือพฤติกรรม network ที่น่าสงสัย

4. จำกัดการใช้งาน PowerShell / สคริปต์
    ปิดหรือจำกัดสิทธิการรันสคริปต์ที่ไม่จำเป็น

5. อัปเดตระบบ ความปลอดภัย และฐานข้อมูลแอนตี้มัลแวร์
    รวมถึงเปิดการป้องกันจากภัยไซเบอร์, ตรวจสอบ exclusion ที่ตั้งไว้ใน Defender

6. ให้ความรู้กับผู้ใช้งาน / ทีมไอที
    ฝึกให้ระวังโฆษณาที่ดูน่าเชื่อถือ, สอนให้ผู้ใช้งานสังเกต URL และตรวจก่อนคลิกโฆษณาหรือดาวน์โหลด

7. เฝ้าระวัง Indicators of Compromise (IoCs)
    โดเมน เช่น gitpage[.]app และโดเมนอื่นที่นักวิจัยรายงาน