ทำความเข้าใจมัลแวร์ Stealka: ม็อดเกมปลอมและซอฟต์แวร์เถื่อนกำลังดูดเงินจากกระเป๋าคริปโตได้อย่างไร

มัลแวร์สายพันธุ์ใหม่ที่เพิ่งถูกค้นพบซึ่งมีชื่อว่า Stealka กำลังขโมยสกุลเงินดิจิทัลโดยปลอมตัวเป็นโปรแกรมโกงเกม (cheats) ซอฟต์แวร์แคร็ก และม็อดยอดนิยม ใช้แพลตฟอร์มดาวน์โหลดที่น่าเชื่อถือและเว็บไซต์ปลอมเพื่อหลอกให้ผู้ใช้ติดมัลแวร์ลงอุปกรณ์ของตนเอง

นักวิจัยด้านความปลอดภัยไซเบอร์จาก Kaspersky ระบุ ว่าอินโฟสตีลเลอร์บน Windows ตัวนี้มีการแพร่กระจายอย่างต่อเนื่องตั้งแต่ช่วงอย่างน้อยเดือนพฤศจิกายน โดยมุ่งเป้าไปที่ข้อมูลจากเบราว์เซอร์ แอปที่ติดตั้งในเครื่อง และกระเป๋าเงินคริปโตทั้งแบบบนเบราว์เซอร์และเดสก์ท็อป

เมื่อถูกรัน Stealka สามารถยึดบัญชีออนไลน์ ดูดเงินคริปโตออกจากกระเป๋าเงิน และในบางกรณียังติดตั้งโปรแกรมขุดคริปโตเพื่อหารายได้เพิ่มเติมจากระบบที่ติดเชื้อได้ด้วย

แพร่ผ่านโปรแกรมโกงเกมและซอฟต์แวร์เถื่อน

ตามการวิเคราะห์ของ Kaspersky Stealka แพร่กระจายเป็นหลักผ่านไฟล์ที่ผู้ใช้ดาวน์โหลดและรันด้วยตนเอง

มัลแวร์มักถูกปลอมเป็นเวอร์ชันแคร็กของซอฟต์แวร์เชิงพาณิชย์ หรือเป็นโปรแกรมโกงและม็อดสำหรับเกมยอดนิยม กระจายผ่านแพลตฟอร์มที่ใช้กันอย่างแพร่หลาย เช่น GitHub, SourceForge, Softpedia และ Google Sites

ในหลายกรณี ผู้โจมตีอัปโหลดไฟล์อันตรายขึ้นไปยังรีโพสิทอรีที่ถูกต้องตามกฎหมาย อาศัยความน่าเชื่อถือของแพลตฟอร์มเพื่อลดความสงสัยของเหยื่อ

นอกจากนี้ นักวิจัยยังพบเว็บไซต์ปลอมที่ออกแบบอย่างมืออาชีพนำเสนอซอฟต์แวร์เถื่อนหรือสคริปต์เกมอีกด้วย

เว็บไซต์เหล่านี้มักแสดงผลสแกนแอนติไวรัสปลอมเพื่อสร้างความรู้สึกว่าไฟล์ดาวน์โหลดนั้นปลอดภัย

แต่ในความเป็นจริง ชื่อไฟล์และคำอธิบายหน้าเว็บมีไว้เป็นเหยื่อล่อเท่านั้น เนื้อหาที่ดาวน์โหลดมาจะมีเพย์โหลดอินโฟสตีลเลอร์ตัวเดิมอยู่เสมอ

มัลแวร์มุ่งเป้าโจมตีเบราว์เซอร์ กระเป๋าเงิน และแอปในเครื่อง

เมื่อถูกติดตั้งแล้ว Stealka จะมุ่งเป้าอย่างหนักไปที่เว็บเบราว์เซอร์ที่พัฒนาบน Chromium และ Gecko ทำให้ผู้ใช้เบราว์เซอร์กว่าร้อยตัวเสี่ยงต่อการถูกขโมยข้อมูล

Also Read: ING Flags Deep Shift As China, India And Brazil Reduce Billions Of U.S. Treasury Holdings In A Single Month

มัลแวร์จะดึงรหัสผ่านที่บันทึกไว้ ข้อมูลกรอกอัตโนมัติ คุกกี้ และโทเค็นเซสชัน ทำให้ผู้โจมตีข้ามผ่านการยืนยันตัวตนสองขั้นตอนได้ และเข้ายึดบัญชีโดยไม่ต้องใช้รหัสผ่าน

บัญชีที่ถูกยึดครองจะถูกนำไปใช้แพร่กระจายมัลแวร์ต่อไป รวมถึงในชุมชนเกมต่างๆ

Stealka ยังมุ่งเป้าไปที่ส่วนขยายเบราว์เซอร์ที่เชื่อมกับกระเป๋าเงินคริปโต โปรแกรมจัดการรหัสผ่าน และเครื่องมือยืนยันตัวตน นักวิจัยพบความพยายามดึงข้อมูลจากส่วนขยายที่เชื่อมกับกระเป๋าคริปโตหลักๆ เช่น MetaMask, Trust Wallet และ Phantom รวมถึงบริการจัดการรหัสผ่านและยืนยันตัวตนอย่าง Bitwarden, Authy และ Google Authenticator

นอกเหนือจากเบราว์เซอร์แล้ว มัลแวร์ยังเก็บไฟล์คอนฟิกและข้อมูลในเครื่องจากแอปเดสก์ท็อปหลายสิบรายการ

ตัวอย่างได้แก่ กระเป๋าเงินคริปโตแบบสแตนด์อโลนที่อาจเก็บกุญแจส่วนตัวที่เข้ารหัสและเมทาดาทาของกระเป๋า แอปแชตไคลเอนต์อีเมล ซอฟต์แวร์ VPN โปรแกรมจดโน้ต และตัวเปิดเกม (game launchers)

ทำไมเรื่องนี้จึงสำคัญ

การเข้าถึงข้อมูลเหล่านี้ทำให้ผู้โจมตีสามารถขโมยเงิน รีเซ็ตรหัสผ่านและข้อมูลบัญชี และปกปิดกิจกรรมอันตรายเพิ่มเติมได้

มัลแวร์ยังเก็บข้อมูลระบบและจับภาพหน้าจอของอุปกรณ์ที่ติดเชื้ออีกด้วย

Kaspersky เตือนว่าแคมเปญ Stealka สะท้อนให้เห็นถึงการทับซ้อนที่เพิ่มขึ้นระหว่างการละเมิดลิขสิทธิ์ การดาวน์โหลดที่เกี่ยวข้องกับเกม และอาชญากรรมไซเบอร์ด้านการเงิน พร้อมกระตุ้นให้ผู้ใช้หลีกเลี่ยงแหล่งซอฟต์แวร์ที่ไม่น่าเชื่อถือ และมองว่าโปรแกรมโกง ม็อด และซอฟต์แวร์แคร็กเป็นไฟล์ความเสี่ยงสูง

Read Next: Bitcoin's Hidden Vulnerability Exposed: How Quantum Computers Could Steal Billions Before We're Ready