Microsoft Threat Intelligence ได้ให้รายละเอียดแคมเปญมัลแวร์ Windows ที่ถูกติดตามเป็น Trojan:Win32/CryptoBandits.A โดยอธิบายถึงโค้ดตัวตัด (clipper) ที่แพร่กระจายผ่านไดรฟ์แบบถอดได้ เฝ้าติดตามกิจกรรมคลิปบอร์ด และสลับที่อยู่สำหรับการส่งมอบคริปโต ก่อนที่เหยื่อจะโอนเงินออกไป มัลแวร์มุ่งเป้าไปที่นิสัยที่พบบ่อยที่สุดอย่างหนึ่งในวงการคริปโต นั่นคือการคัดลอกและวางที่อยู่กระเป๋าเงิน (wallet address) เพื่อแทนที่ที่อยู่ปลายทางที่ถูกต้องด้วยที่อยู่ที่ผู้โจมตีควบคุม แคมเปญนี้สะท้อนถึงวิธีขโมยที่เฉพาะทางด้านคริปโต โดยอาศัยความไว้วางใจในไดรฟ์ USB และขั้นตอนการทำธุรกรรมตามปกติ
มัลแวร์ CryptoBandits เฝ้าดูคลิปบอร์ดและสลับที่อยู่คริปโต
มัลแวร์จะเฝ้าดูคลิปบอร์ดและแทนที่ที่อยู่กระเป๋าเงินที่ผู้ใช้คัดลอกด้วยที่อยู่ที่ผู้โจมตีควบคุม รายงานของ Microsoft ระบุว่าแคมเปญ CryptoBandits ใช้การติดตามคลิปบอร์ดแบบความถี่สูง และยังสามารถมองหาข้อมูลคริปโตที่ละเอียดอ่อน เช่น คีย์ส่วนตัว (private keys) หรือวลีเมล็ดพันธุ์ (seed phrases) ได้ ผู้ใช้คัดลอกที่อยู่ปลายทางที่ถูกต้อง แต่มัลแวร์จะสกัดและแทนที่ที่อยู่นั้นก่อนที่เหยื่อจะวางลงในธุรกรรมบนระบบ เมื่อโอนผ่านบล็อกเชน การย้อนกลับทำได้ยากหรือเป็นไปไม่ได้ และเหยื่ออาจรู้ตัวได้ก็ต่อไปหลังจากตรวจสอบบันทึกธุรกรรมแล้ว
มัลแวร์แพร่ผ่านไดรฟ์ USB ด้วยทางลัด (Shortcuts) ที่เป็นอันตราย
Microsoft ระบุว่ามัลแวร์สามารถแพร่ผ่านไดรฟ์แบบถอดได้โดยซ่อนเอกสารของจริง และแทนที่ด้วยไฟล์ทางลัดที่เป็นอันตรายซึ่งใช้ชื่อเอกสารที่คุ้นเคย ผู้ใช้เปิดไฟล์ที่ดูเหมือน PDF, สเปรดชีต หรือเอกสารปกติจากไดรฟ์ USB แต่ทางลัดกลับไปเรียกโค้ดอันตรายแทน แคมเปญนี้ยังใช้โครงสร้างพื้นฐานของ Tor สำหรับการสื่อสารแบบ command-and-control ตามรายงานของ Microsoft ด้วยการกำหนดเส้นทางการสื่อสารผ่านบริการที่ซ่อนอยู่ ทำให้ผู้โจมตีทำให้มัลแวร์ยากต่อการตัดการทำงาน และยากต่อการที่ระบบป้องกันเครือข่ายแบบเดิมจะตรวจสอบได้
Microsoft แนะนำให้ตรวจสอบที่อยู่ก่อนส่งเงิน
คำแนะนำของ Microsoft รวมถึงการตรวจสอบอักขระตัวแรกและตัวสุดท้ายของที่อยู่ปลายทางก่อนส่งเงิน สำหรับการโอนขนาดใหญ่ ผู้ใช้ควรใช้ฮาร์ดแวร์วอลเล็ต หรือหน้าจอวอลเล็ตที่แสดงที่อยู่อย่างเป็นอิสระจากคอมพิวเตอร์ที่ติดเชื้อ นอกจากนี้ผู้ใช้ควรหลีกเลี่ยงการเปิดไฟล์จากไดรฟ์ USB ที่ไม่ทราบแหล่งอัพเดตเครื่องมือความปลอดภัยของ Windows ให้เป็นปัจจุบัน และปฏิบัติต่อทางลัดบนสื่อจัดเก็บแบบถอดได้ด้วยความระมัดระวัง หากไดรฟ์กลับแสดงไฟล์ที่คุ้นเคยในรูปแบบลิงก์ทางลัดอย่างฉับพลัน นั่นคือสัญญาณเตือน แคมเปญนี้เน้นระบบ Windows และมุ่งเป้าหมายผู้ใช้คริปโตที่พึ่งพเวิร์กโฟลว์แบบคัดลอก-วางสำหรับที่อยู่ธุรกรรม
FAQ
มัลแวร์ CryptoBandits ทำอะไรกับที่อยู่กระเป๋าเงินคริปโต?
มัลแวร์จะเฝ้าดูการทำงานของคลิปบอร์ด และแทนที่ที่อยู่กระเป๋าเงินคริปโตที่คัดลอกด้วยที่อยู่ที่ผู้โจมตีควบคุม ก่อนที่เหยื่อจะวางที่อยู่นั้นลงในธุรกรรม Microsoft ระบุว่าใช้การติดตามคลิปบอร์ดแบบความถี่สูง และยังสามารถค้นหาคีย์ส่วนตัว (private keys) หรือวลีเมล็ดพันธุ์ (seed phrases) ได้
CryptoBandits แพร่ไปยังคอมพิวเตอร์เครื่องอื่นได้อย่างไร?
Microsoft รายงานว่ามัลแวร์แพร่ผ่านไดรฟ์ USB แบบถอดได้ โดยซ่อนเอกสารของจริงและแทนที่ด้วยไฟล์ทางลัดที่เป็นอันตรายซึ่งใช้ชื่อเอกสารที่คุ้นเคย เมื่อผู้ใช้เปิดไฟล์ที่ดูเหมือนเป็นไฟล์ปกติจากไดรฟ์ USB ทางลัดจะเรียกโค้ดอันตรายแทน
