ที่มาภาพ: Ars Technica
Microsoft ค้นพบมัลแวร์เบาแบบ backdoor ขโมยกระเป๋าเงินดิจิทัลผ่าน USB
⚡ สรุป 30 วิ
Microsoft รายงานมัลแวร์ใหม่ชื่อ Crypto Clipper ซึ่งเป็น worm ที่แพร่กระจายผ่าน USB และขโมยข้อมูลกระเป๋าเงินดิจิทัลโดยตรวจสอบคลิปบอร์ดและจับภาพหน้าจอ…
Microsoft เผยว่าตรวจพบมัลแวร์ใหม่ที่ทำหน้าที่เป็น backdoor น้ำหนักเบาและมีความสามารถในการแพร่กระจายผ่านอุปกรณ์ USB เพื่อขโมยข้อมูลกระเป๋าเงินดิจิทัล การค้นพบนี้สำคัญเพราะแสดงให้เห็นเทคนิคการสื่อสารและการขโมยข้อมูลที่หลีกเลี่ยงการใช้โครงสร้างควบคุมแบบดั้งเดิม ซึ่งอาจทำให้การติดตามยากยิ่งขึ้น
Overview
มัลแวร์ที่ Microsoft ตั้งชื่อว่า Crypto Clipper ถูกระบุว่าเป็น “worm” ที่สามารถกระจายตัวเองโดยอัตโนมัติผ่านสื่อบันทึกข้อมูลแบบพกพา เช่น แฟลชไดรฟ์ เมื่ออุปกรณ์เหล่านี้เชื่อมต่อกับคอมพิวเตอร์ที่มีระบบปฏิบัติการ Windows มัลแวร์จะเริ่มทำงานโดยไม่มีการติดตั้งโปรแกรมใด ๆ เพิ่มเติม การทำงานของมันมุ่งเน้นที่การค้นหาและขโมยข้อมูลที่เกี่ยวข้องกับสกุลเงินดิจิทัล ซึ่งเป็นเป้าหมายหลักของผู้โจมตี
ในเชิงเทคนิค Crypto Clipper แสดงรูปแบบการทำงานที่ผสมผสานระหว่างการขโมยข้อมูล (data theft) และการดำเนินการโค้ดจากระยะไกล (remote code execution) ทำให้มันไม่ได้เป็นเพียงตัวขโมยข้อมูลธรรมดา แต่ยังทำหน้าที่เป็น backdoor ที่เปิดช่องทางให้ผู้โจมตีควบคุมเครื่องเป้าหมายได้ต่อเนื่อง
Propagation Method
การแพร่กระจายของ Crypto Clipper ใช้กลไก “self‑propagating” ผ่าน USB drives ซึ่งเป็นวิธีที่เคยพบในมัลแวร์ประเภท ransomware แต่ในกรณีนี้จุดประสงค์คือการขโมยข้อมูลกระเป๋าเงินดิจิทัล แทนการรบกวนระบบหรือเรียกค่าไถ่ การที่มัลแวร์ไม่ต้องอาศัย installer หรือไฟล์ติดตั้งที่เห็นได้ชัด ทำให้มันสามารถซ่อนตัวอยู่ในระบบไฟล์ของอุปกรณ์พกพาได้อย่างง่ายดาย
เมื่อผู้ใช้เชื่อมต่อ USB drive ที่ติดมัลแวร์เข้ากับเครื่องคอมพิวเตอร์ มัลแวร์จะทำการคัดลอกตัวเองไปยังโฟลเดอร์ที่มักจะเข้าถึงได้โดยผู้ใช้ทั่วไป เช่น “Documents” หรือ “Downloads” ซึ่งช่วยเพิ่มโอกาสที่มัลแวร์จะถูกเปิดใช้งานในครั้งต่อไปโดยไม่ได้รับการตรวจจับ
Data Theft Mechanism
Crypto Clipper มีการตรวจสอบ clipboard ของระบบเพื่อค้นหารูปแบบที่สอดคล้องกับที่อยู่กระเป๋าเงินดิจิทัลหรือ seed phrase หากพบข้อมูลดังกล่าว มัลแวร์จะบันทึกข้อมูลเหล่านั้นพร้อมกับการจับภาพหน้าจอจำนวน ห้าภาพ ภายในระยะเวลา 10 วินาที การจับภาพหน้าจอนี้ช่วยให้ผู้โจมตีได้ข้อมูลเพิ่มเติม เช่น รายละเอียดของแอปพลิเคชันที่เปิดอยู่หรือข้อความเตือนที่อาจบ่งบอกถึงการทำธุรกรรม
การเก็บข้อมูลทั้งหมดจะถูกบรรจุในแพ็กเกจข้อมูลที่ส่งต่อไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม โดยใช้เครือข่าย Tor เพื่อปกปิดที่อยู่ IP ของผู้โจมตีและผู้เสียหาย ทำให้การตรวจสอบแหล่งที่มาของการโจมตียากขึ้นอย่างมาก
Communication Channel
การสื่อสารของ Crypto Clipper กับเซิร์ฟเวอร์ควบคุมใช้ Tor ผ่าน SOCKS5 proxy ซึ่งเป็นโปรโตคอลที่ทำหน้าที่ส่งข้อมูลผ่านเซิร์ฟเวอร์พร็อกซีก่อนถึงจุดหมายปลายทาง การใช้ TOR ร่วมกับ SOCKS5 ทำให้มัลแวร์ไม่ต้องพึ่งพาโครงสร้าง C2 (Command‑and‑Control) แบบ IP‑based ดั้งเดิมที่มักจะถูกบล็อกโดยไฟร์วอลล์หรือระบบตรวจจับภัยคุกคาม
Microsoft ระบุว่า Crypto Clipper “deploys a portable Tor client” ซึ่งหมายความว่ามัลแวร์จะพกตัวไคลเอนต์ TOR ไปด้วยโดยไม่ต้องอ้างอิงไปยังการติดตั้ง TOR ที่มีอยู่ในระบบ การทำเช่นนี้ทำให้การเชื่อมต่อระหว่างเครื่องเป้าหมายกับเซิร์ฟเวอร์ควบคุมมีความยืดหยุ่นและสามารถหลบหลีกการตรวจจับได้อย่างมีประสิทธิภาพ
Technical Significance
จากมุมมองของผู้เชี่ยวชาญด้านความปลอดภัย การผสมผสานระหว่างการขโมยข้อมูลและการเปิด backdoor ผ่านวิธีการสื่อสารที่ไม่มี IP‑based C2 ถือเป็นการพัฒนาที่สำคัญของกลุ่มผู้โจมตีที่มุ่งเน้นกำไรทางการเงิน Crypto Clipper แสดงให้เห็นว่าผู้โจมตีกำลังใช้เทคนิคที่ซับซ้อนมากขึ้นเพื่อหลบเลี่ยงการป้องกันแบบดั้งเดิม
- ไม่ต้องพึ่งพา installer หรือไฟล์ติดตั้งแบบดั้งเดิม
- ใช้ portable Tor client พร้อม SOCKS5 proxy เพื่อการสื่อสารที่ไม่เปิดเผย IP
- ผสมผสานการขโมยข้อมูล (clipboard, screenshots) กับ remote code execution
การออกแบบลักษณะนี้ทำให้การตรวจจับโดยระบบป้องกันแบบ signature‑based ยากขึ้นและบังคับให้ผู้ดูแลระบบต้องพึ่งพาการวิเคราะห์พฤติกรรม (behavioral analysis) มากขึ้น
Impact
ผู้ใช้ Windows ที่เคยเชื่อมต่อ USB drive กับเครื่องคอมพิวเตอร์โดยไม่ได้รับการตรวจสอบความปลอดภัยอาจเป็นเป้าหมายของ Crypto Clipper การขโมยที่อยู่กระเป๋าเงินหรือ seed phrase สามารถทำให้ผู้เสียหายสูญเสียสินทรัพย์ดิจิทัลจำนวนมากโดยไม่มีวิธีการกู้คืน
นอกจากนี้ การที่มัลแวร์ทำหน้าที่เป็น backdoor ยังเปิดช่องให้ผู้โจมตีสามารถดำเนินการเพิ่มเติมได้ เช่น การดาวน์โหลดโมดูลเพิ่มเติม, การสร้างบัญชีผู้ใช้ใหม่ หรือการทำให้เครื่องเป้าหมายกลายเป็นส่วนหนึ่งของ botnet การประเมินความเสี่ยงจึงต้องรวมถึงทั้งการสูญเสียทางการเงินและการเสี่ยงต่อการถูกใช้เป็นเครื่องมือโจมตีต่อไป
Microsoft ได้เผยแพร่ข้อมูลเบื้องต้นนี้เพื่อให้ชุมชนความปลอดภัยและองค์กรต่าง ๆ สามารถเตรียมการป้องกันได้ทันที เช่น การจำกัดการใช้งาน USB, การตรวจสอบพฤติกรรมของโปรเซสที่เรียกใช้ Tor หรือ SOCKS5, และการอัปเดตซอฟต์แวร์ป้องกันภัยคุกคามอย่างสม่ำเสมอ
Summary
Microsoft รายงานการตรวจพบ Crypto Clipper ซึ่งเป็นมัลแวร์ที่แพร่กระจายผ่าน USB drive และขโมยข้อมูลกระเป๋าเงินดิจิทัลโดยใช้ Tor และ SOCKS5 proxy เป็นช่องทางสื่อสาร การทำงานแบบผสมผสานระหว่างการขโมยข้อมูลและการเปิด backdoor ทำให้มันเป็นภัยคุกคามที่ยากต่อการตรวจจับและต้องการการป้องกันเชิงพฤติกรรมเพิ่มเติม.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- Microsoft discovers new lightweight backdoor that steals cryptocurrency
- ผู้เขียน
- Dan Goodin
- แหล่ง
- Ars Technica
- วันที่เผยแพร่
- 19 มิถุนายน 2569 เวลา 06:28
