แฮกเกอร์ใช้ Google Ads และ Claude.ai หลอกผู้ใช้ Mac ติดมัลแวร์รูปแบบใหม่
เมื่อ “ความน่าเชื่อถือของ AI Platform” กลายเป็นเครื่องมือโจมตีไซเบอร์
นักวิจัยด้านความปลอดภัยพบรูปแบบการโจมตีใหม่ที่น่ากังวล เมื่อแฮกเกอร์เริ่มใช้ Google Ads ร่วมกับ Claude.ai Shared Chats เพื่อหลอกให้ผู้ใช้ macOS ติดตั้งมัลแวร์บนเครื่องของตนเอง โดยอาศัยความน่าเชื่อถือของแพลตฟอร์ม AI และพฤติกรรมของผู้ใช้ที่คุ้นเคยกับการคัดลอกคำสั่งลงใน Terminal
เหตุการณ์นี้สะท้อนให้เห็นถึงแนวโน้มใหม่ของภัยคุกคามไซเบอร์ในปี 2026 ที่ผู้โจมตีไม่ได้พึ่งพาเว็บไซต์ปลอมแบบเดิมอีกต่อไป แต่หันมาใช้ Trusted Platforms เป็น “ตัวกลาง” เพื่อหลอกลวงเหยื่อให้เชื่อใจและดำเนินการติดตั้งมัลแวร์ด้วยตนเอง
วิธีการโจมตี: จาก Google Search สู่การติดมัลแวร์
การโจมตีเริ่มต้นจากการที่ผู้ใช้ค้นหาคำว่า “Claude download for Mac” หรือคำค้นหาใกล้เคียงบน Google จากนั้นอาจพบโฆษณาแบบ Sponsored ที่ดูเหมือนเป็นลิงก์ไปยังเว็บไซต์ทางการของ Claude AI
เมื่อคลิกเข้าไป ผู้ใช้จะไม่ได้ถูกพาไปยังหน้าดาวน์โหลดโปรแกรมโดยตรง แต่จะเข้าสู่หน้า Claude Shared Chat ซึ่งเป็นฟีเจอร์สำหรับแชร์บทสนทนาของแพลตฟอร์ม Claude.ai โดยแฮกเกอร์ได้สร้างเนื้อหาที่แอบอ้างว่าเป็นคู่มือจากฝ่ายสนับสนุนทางเทคนิค หรือคำแนะนำในการติดตั้งแอปอย่างเป็นทางการ
ภายในหน้าแชตดังกล่าว มีคำแนะนำให้ผู้ใช้เปิด Terminal และคัดลอกคำสั่งบางอย่างไปวางเพื่อ “แก้ปัญหาการติดตั้ง” หรือ “เปิดใช้งานเวอร์ชันล่าสุด” ของโปรแกรม
แต่แท้จริงแล้ว คำสั่งเหล่านั้นถูกออกแบบมาเพื่อ:
- ดาวน์โหลดไฟล์อันตรายจากเซิร์ฟเวอร์ของผู้โจมตี
- ติดตั้งมัลแวร์ลงบนเครื่องโดยไม่แสดงอาการผิดปกติ
- เปิดช่องทางให้แฮกเกอร์เข้าควบคุมเครื่องหรือขโมยข้อมูลสำคัญ
ทำไมการโจมตีนี้จึงน่ากลัวกว่าฟิชชิ่งทั่วไป
- ใช้โดเมนจริง สร้างความน่าเชื่อถือสูง
จุดที่ทำให้การโจมตีนี้มีประสิทธิภาพคือ การใช้โดเมน claude.ai จริง ไม่ใช่เว็บไซต์ปลอม ทำให้ผู้ใช้เห็น URL ที่คุ้นเคยและเชื่อว่าเป็นแหล่งข้อมูลที่ปลอดภัย
นี่เป็นตัวอย่างของการโจมตีแบบ Trust Abuse หรือการใช้แพลตฟอร์มที่น่าเชื่อถือเป็นเครื่องมือหลอกลวง
- อาศัย Google Ads ดันลิงก์ขึ้นอันดับแรก
แฮกเกอร์ใช้โฆษณา Google เพื่อให้ลิงก์อันตรายแสดงในตำแหน่งบนสุดของผลการค้นหา ซึ่งเพิ่มโอกาสที่ผู้ใช้จะคลิกโดยไม่ตรวจสอบให้ละเอียด
หลายคนยังมีความเข้าใจผิดว่า “ผลลัพธ์อันดับแรก” หรือ “Sponsored” บน Google ย่อมผ่านการตรวจสอบและปลอดภัย
- มุ่งเป้าไปยังผู้ใช้ที่มีพฤติกรรมเสี่ยงโดยธรรมชาติ
กลุ่มเป้าหมายหลักของการโจมตีนี้ ได้แก่
- นักพัฒนาซอฟต์แวร์ (Developers)
- วิศวกรด้านความปลอดภัย (Security Engineers)
- ผู้ใช้งาน AI tools เช่น Claude, ChatGPT, Cursor
คนกลุ่มนี้มักคุ้นเคยกับการรันคำสั่งใน Terminal และมีแนวโน้มที่จะเชื่อคำแนะนำเชิงเทคนิคจากแหล่งที่ดูน่าเชื่อถือ
ความเสียหายที่อาจเกิดขึ้น
หากมัลแวร์ถูกติดตั้งสำเร็จ ผู้โจมตีอาจสามารถเข้าถึงข้อมูลสำคัญ เช่น
- รหัสผ่านและ Session Cookies
- SSH Keys และ API Keys
- GitHub Access Tokens
- Source Code ภายในองค์กร
- ข้อมูลภายในเครื่องและเอกสารสำคัญ
ในกรณีของนักพัฒนาหรือทีม DevOps การเข้าถึงเครื่องเพียงเครื่องเดียวอาจนำไปสู่ Supply Chain Attack ที่กระทบระบบทั้งหมดขององค์กรได้
บทเรียนสำคัญสำหรับองค์กรและผู้ใช้งาน
เหตุการณ์นี้เป็นเครื่องเตือนใจว่า “ความน่าเชื่อถือของแพลตฟอร์ม” ไม่ได้หมายถึง “ความปลอดภัยของทุกเนื้อหาบนแพลตฟอร์มนั้น”
องค์กรควรเร่งดำเนินการดังนี้:
เสริมสร้าง Security Awareness
ให้พนักงานตระหนักว่า Google Ads และเนื้อหาบนโดเมนที่คุ้นเคยอาจถูกใช้เป็นเครื่องมือโจมตีได้
หลีกเลี่ยงการคัดลอกคำสั่งจากอินเทอร์เน็ตโดยไม่ตรวจสอบ
โดยเฉพาะคำสั่งที่มีรูปแบบ เช่น curl | bash, wget | sh, base64 -d หรือ osascript
ใช้เครื่องมือป้องกันเชิงรุก
เช่น DNS Filtering, Browser Protection, EDR/XDR และระบบตรวจจับพฤติกรรมผิดปกติบน macOS
ตรวจสอบ Log และพฤติกรรมต้องสงสัย
เช่น การเรียกใช้คำสั่ง shell ที่เกี่ยวข้องกับการดาวน์โหลดและรันไฟล์จาก /tmp
AI Platforms กำลังกลายเป็นเป้าหมายและเครื่องมือโจมตีใหม่
กรณีนี้แสดงให้เห็นว่า Cybercriminals กำลังปรับตัวอย่างรวดเร็ว โดยใช้ประโยชน์จากความนิยมของ AI tools และความไว้วางใจของผู้ใช้งานเป็นช่องทางโจมตี
ลำดับการหลอกลวงดูเรียบง่ายแต่ทรงพลัง:
Google Ads → Claude.ai domain → คู่มือดูน่าเชื่อถือ → คัดลอกคำสั่ง → ติดมัลแวร์
ทั้งหมดเกิดขึ้นโดยที่เหยื่ออาจไม่รู้ตัวเลยว่ากำลังถูกโจมตี
ในยุคที่ AI กลายเป็นส่วนหนึ่งของการทำงานประจำวัน ความปลอดภัยไซเบอร์จึงไม่ใช่แค่การระวัง “เว็บปลอม” อีกต่อไป แต่รวมถึงการตั้งคำถามกับทุกคำแนะนำ—even if it looks trustworthy.
#CyberSecurity #ThreatIntelligence #MacMalware #GoogleAdsAbuse #ClaudeAI #Malvertising #SecurityAwareness #BigFish
