ในหมู่เครื่องมือ AI หรือปัญญาประดิษฐ์ทั้งหมดที่มีอยู่ในตลาดนั้น ในแง่ของความดังและความนิยมคงจะหนีไม่พ้น ChatGPT ด้วยชื่อเสียงนี้เองที่นำไปสู่การแอบอ้างชื่อใช้งานโดยแฮกเกอร์เพื่อปล่อยมัลแวร์

จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบแคมเปญการแพร่กระจายมัลแวร์ใหม่ของทางแฮกเกอร์ที่ได้มีการแอบอ้างชื่อเครื่องมือ AI ชื่อดัง เช่น ChatGPT และ InVideo AI เพื่อปล่อยมัลแวร์หลากชนิด หลายสายพันธุ์ ไม่ว่าจะเป็น มัลแวร์ตัวใหม่ที่ชื่อว่า Numero หรือ มัลแวร์ประเภทเพื่อการเรียกค่าไถ่ (Ransomware) อย่าง CyberLock และ Lucky_Gh0$t ซึ่งการตรวจพบดังกล่าวนั้นเป็นผลงานของทีมวิจัยจากบริษัท Cisco Talos บริษัทผู้เชี่ยวชาญด้านการจัดการด้านเครือข่าย

โดยทางทีมวิจัยได้เปิดเผยว่า แฮกเกอร์นั้นจะหลอกลวงเหยื่อด้วยการสร้างเว็บไซต์ปลอมของเครื่องมือ AI ที่เป็นที่นิยมในอุตสาหกรรมที่เน้นขายของแบบองค์กรต่อองค์กร (B2B หรือ Business-to-Business) และ อุตสาหกรรมบริการด้านการตลาด ซึ่งการเผยแพร่นั้นจะทำผ่านวิธีการวางยาการค้นหาให้ตัวเว็บไซต์ปลอมนั้นขึ้นมาหน้าแรก (SEO Poisoning) เพื่อให้กลุ่มเหยื่อที่ถูกเพ่งเล็งไว้เข้าเว็บไซต์ผิดเว็บ 

ทางทีมตัวอย่างได้ยกตัวอย่างเว็บไซต์ “novaleadsai[.]com” ซึ่งทำลอกเลียนแบบเว็บไซต์เครื่องมือทางการตลาดที่มีชื่อว่า NovaLeads บนตัวเว็บไซต์นั้นจะมีการโฆษณานำเสนอให้เหยื่อทำการดาวน์โหลดเครื่องมือแบบฟรี ๆ โดยอ้างว่าเป็นการใช้งานฟรี 1 ปีเต็ม แล้วจะมีโปรการจ่ายเงินเพื่อสมัครใช้งานเดือนละ 95 ดอลลาร์สหรัฐ (3,114.10 บาท) หลังครบกำหนดใช้งาน 1 ปีแล้ว แต่สิ่งที่เหยื่อดาวน์โหลดมาได้นั้นกลับเป็นไฟล์บีบอัดนามสกุล .Zip โดยภายในนั้นจะมีไฟล์สำหรับรันในรูปแบบ .NET (.NET Executable) ที่มีชื่อว่า “NovaLeadsAI.exe” ซึ่งไฟล์ดังกล่าวนี้จะทำหน้าที่เป็นมัลแวร์นกต่อ (Loader) สำหรับใช้ในการดาวน์โหลดและรันมัลแวร์เรียกค่าไถ่ชื่อว่า CyberLock ลงมาติดตั้งบนเครื่อง

ซึ่งแรนซัมแวร์ดังกล่าวนั้น หลังจากที่ติดตั้งเสร็จเรียบร้อย ตัวมัลแวร์ก็จะทำการเพิ่มสิทธิ์ในการเข้าถึงและจัดการระบบ จากนั้นก็จะทำการรันตัวเองอีกรอบด้วยสิทธิ์การเข้าถึงในระดับผู้ดูแลระบบ (Administrator) แล้วจึงเข้าทำการเข้ารหัสไฟล์ที่มีนามสกุลที่ถูกกำหนดไว้บนไดร์ฟ “C:,” “D:,” และ “E:” พร้อมทั้งทิ้งคำขู่เรียกค่าไถ่ให้เหยื่อจ่ายเงิน 50,000 ดอลลาร์สหรัฐ (1,639,000) เพื่อไถ่ไฟล์ที่ถูกยึดไว้คืนมา และที่น่าสนใจคือ แฮกเกอร์ได้อ้างไว้บนไฟล์ข่มขู่ว่า เงินทั้งหมดที่ได้รับบริจาคจะถูกนำไปช่วยเหลือผู้หญิงและเด็กในพื้นที่ที่มีความรุนแรงอย่าง ปาเลสไตน์, ยูเครน, แอฟริกา, เอเชีย และพื้นที่อื่น ๆ ที่กลุ่มเปราะบางไม่ได้รับความเป็นธรรม โดยในขั้นตอนสุดท้ายของการโจมตีนั้น แฮกเกอร์จะใช้เครื่องมือที่ถูกติดตั้งมากับระบบ Windows อยู่แล้ว (Living-Off-The-Land Binary หรือ LoLBin) ที่มีชื่อว่า “cipher.exe” พร้อมออปชัน “/w” เพื่อใช้ลบพื้นที่ว่างที่อยู่บนไดร์ฟต่าง ๆ ป้องกันการถูกวิเคราะห์โดยเครื่องมือและผู้เชี่ยวชาญภัยไซเบอร์

นอกจากนั้นทางทีมวิจัยยังได้เปิดเผยถึงกลการแพร่กระจายมัลแวร์เรียกค่าไถ่อีกตัวหนึ่งที่มีชื่อว่า Lucky_Gh0$t ซึ่งเป็นการใช้งานเว็บไซต์ ChatGPT ปลอม หลอกให้ดาวน์โหลดแอปพลิเคชัน ChatGPT เวอร์ชัน Premium ตัวปลอม ซึ่งไฟล์ติดตั้งในรูปแบบ SFX นั้นจะมีการบรรจุไฟล์มัลแวร์ตัวดังกล่าวภายใต้ชื่อ ‘dwn.exe’ ซึ่งเป็นการตั้งชื่อเลียนแบบเครื่องมือบน Windows ที่มีชื่อว่า ‘dwm.exe’ (เพียงเปลี่ยนตัวอักษรท้ายจาก M เป็น N เท่านั้น) เพื่อให้เหยื่อไม่เอะใจ พร้อมเครื่องมือด้าน AI ในโฟลเดอร์ที่เป็นของจริงที่มีแจกจ่ายกันทั่วไปบนเว็บไซต์ GitHub โดยในขณะเดียวกันนั้นเองสคริปท์ SFX ก็จะทำการดาวน์โหลดแรนซัมแวร์ลงมาติดตั้งบนเครื่อง หลังจากที่ติดตั้ง และตัวแรนซัมแวร์ทำการเข้ารหัสไฟล์ต่าง ๆ เป็นที่เรียบร้อยแล้ว ตัวโน๊ตข่มขู่เหยื่อก็จะสั่งให้เหยื่อทำการติดต่อกับแฮกเกอร์ผ่านทางแอปพลิเคชันแชทที่กำหนดไว้ เพื่อพูดคุยเจรจาในการจ่ายเงินเรียกค่าไถ่

ภาพจาก : https://thehackernews.com/2025/05/cybercriminals-target-ai-users-with.html

และท้ายสุด มัลแวร์ Nemuro ซึ่งเป็นมัลแวร์ที่มีความอันตรายสูงตัวหนึ่งก็ได้มีการเกาะกระแส AI เช่นเดียวกัน โดยการแอบอ้างตนเป็นซอฟต์แวร์ AI ด้านวิดีโออย่าง InVideo AI ซึ่งมัลแวร์ตัวนี้มีความสามารถในการเขียนทับไฟล์ต่าง ๆ บน Desktop ที่มีค่า String ที่ “1234567890” ทำให้ระบบไม่สามารถใช้งานได้เนื่องจากไฟล์ต่าง ๆ เสียหายไปแล้ว ตัวมัลแวร์ยังมีความสามารถในการต่อต้านระบบดีบั๊ก และการถูกวิเคราะห์ได้อีกด้วย โดยหลังจากที่เหยื่อหลงเชื่อและทำการดาวน์โหลดไฟล์จากเว็บไซต์ปลอมลงมาแล้ว สิ่งที่เหยื่อได้รับคือ ไฟล์ 3 ไฟล์ นั่นคือ ไฟล์ Windows Batch, ไฟล์สคริปท์ Visual Basic, และไฟล์สำหรับรันติดตั้งมัลแวร์ Nemuro ซึ่งตัวไฟล์ Batch นั้นจะทำการรันบน Windows Shell แบบหมุนวนไร้จุดสิ้นสุด (Infinite Loop) ซึ่งจะนำไปสู่การรันไฟล์ Nemuro ขึ้นมาติดตั้ง และหลังจากติดตั้งเสร็จ ตัวสคริปท์ VB ก็จะทำงานผ่านทาง Cscript เพื่อระงับการทำงาน 60 วินาที และเริ่มต้นการทำงานของมัลแวร์ใหม่ ซึ่งจะช่วยทั้งการตีรวนระบบ และช่วยให้มัลแวร์นั้นทำงานและปิดตัวเองไปเรื่อย ๆ อย่างไร้ที่สิ้นสุด

ภาพจาก : https://thehackernews.com/2025/05/cybercriminals-target-ai-users-with.html

นอกจากนั้นยังมีการรายงานถึงการใช้โฆษณาบนโซเชียลมีเดียชื่อดังอย่าง Facebook เพื่อแพร่กระจายมัลแวร์ (Malvertising) ด้วยการแอบอ้างเครื่องมือ AI หลากชนิด ไม่ว่าจะเป็น Luma AI, Canva Dream Lab, และ Kling AI ซึ่งทางทีมข่าวได้มีการนำเสนอมาแล้วในช่วงหลายเดือนที่ผ่านมา ผู้สนใจสามารถเลื่อนอ่านจากข่าวเก่า ๆ

ที่มา : thehackernews.com