Bitdefender เตือนเกม Battlefield 6 เถื่อน มาพร้อมของแถมมัลแวร์ขโมยคริปโต

Bitdefender เตือนเกม Battlefield 6 เถื่อน มาพร้อมของแถมมัลแวร์ขโมยคริปโต

ขึ้นชื่อว่าวิดีโอเกมเถื่อน หรือโปรแกรมสำหรับโกงเกม (Trainer) นั้น ย่อมมีความเป็นไปได้สูงว่าอาจจะมีของแถม หรืออาจจะเป็นการสมอ้างของโปรแกรมที่เป็นอันตรายอย่างมัลแวร์หลากชนิด ดังเช่นในข่าวนี้

จากรายงานโดยเว็บไซต์อย่างเป็นทางการของผู้พัฒนาแอนตี้ไวรัส Bitdefender ได้กล่าวถึงการตรวจพบถึงการแอบอ้างชื่อวิดีโอเกม Battlefield 6 ซึ่งเป็นภาคล่าสุดของซีรีส์ Battlefield วิดีโอเกมแนวยิงแบบบุคคลที่ 1 (FPS หรือ First Person Shooting) ยอดนิยมจากค่าย EA (Electronic Arts) โดยในการแอบอ้างนี้มีรูปแบบที่แตกต่างกันออกไป ถึง 3 รูปแบบ ดังนี้

โปรแกรมโกงเกม (Trainer) ปลอมของ Battlefield 6

โปรแกรมโกงเกมปลอมนี้จะมาจากเว็บไซต์ปลอมที่มีชื่อว่า (https[:]//flingtrainer[.]io/) และอาจมาจากเว็บไซต์อื่น ๆ ที่แฮกเกอร์วางยาไว้ก็ได้ ซึ่งเว็บไซต์เหล่านี้จะปรากฏออกมาเมื่อมีการค้นหาคำว่า "Battlefield 6 trainers" บน Google ซึ่งไฟล์ดังกล่าวนั้นจะมีการแฝงมัลแวร์ที่ไม่ระบุชื่อ โดยทางแหล่งข่าวระบุเพียงแค่ว่าเป็นมัลแวร์ประเภทขโมยข้อมูลจากเครื่องของเหยื่อ หรือ Infostealer ที่มีขนาดเล็ก ไม่ซับซ้อน ไม่มีการใช้งานโค้ดเพื่อก่อกวนระบบตรวจจับ (Obfuscation) แต่มีความสามารถในการขโมยข้อมูลที่หลากหลาย โดยมัลแวร์ดังกล่าวนั้นมีความสามารถในการขโมยข้อมูลดังนี้

ข้อมูลของกระเป๋าเงินคริปโตเคอร์เรนซีในรูปแบบส่วนเสริมบนเว็บเบราว์เซอร์ Chrome อย่าง iWallet และ Yoroi

Session การใช้งาน Cookie และกระเป๋าเงินคริปโตเคอร์เรนซี บนเว็บเบราว์เซอร์ Chrome, Edge, Firefox, Opera, Brave, Vivaldi, และ WaveBrowser

Token การใช้งาน และรหัสผ่านในการใช้งานแอปพลิเคชันแชท Discord

ซึ่งข้อมูลที่ถูกขโมยมาได้ทั้งหมดนั้นจะถูกส่งไปยังหมายเลขไอพี 198[.]251[.]84[.]9 ด้วยผ่านทางโปรโตคอล HTTP ด้วยข้อความแบบไม่มีการเข้ารหัส (Plaintext)

ไฟล์วิดีโอเกม Battlefield 6 เวอร์ชันแคร็ก ‘Battlefield 6.GOG-InsaneRamZes’ 

สำหรับไฟล์นี้ก็มีการแฝงมัลแวร์มาเช่นเดียวกัน โดยเป็นไฟล์วิดีโอเกมแบบแคร็กที่ถูกปล่อยให้ดาวน์โหลดบนเครือข่ายแชร์ไฟล์ Torrent ที่ถึงแม้จะไม่มีการระบุประเภทชัดเจน แต่ก็มีการคาดหมายว่าจะเป็นมัลแวร์ประเภทลักลอบขโมยข้อมูลเช่นเดียวกัน โดยคาดว่าตัวมัลแวร์จะทำหน้าที่ในการขโมยรหัสผ่านจากเว็บเบราว์เซอร์และแอปพลิเคชันแชทอย่าง Discord นอกจากนั้นตัวมัลแวร์ยังมีความสามารถที่น่าสนใจหลายอย่าง เช่น

ความสามารถในการเลือกถิ่นที่จะโจมตี โดยจะไม่โจมตีเครื่องที่อยู่ในเขตของประเทศรัสเซีย หรือ ประเทศอดีตสหภาพโซเวียต ที่มีรหัสท้องถิ่นบนระบบอย่าง RU, AM, AZ, BY, KZ, KG, LT, และ UZ เพื่อป้องกันการถูกตามล่าตัว ทำให้คาดว่ามัลแวร์ตัวนี้จะมาจากรัสเซีย

ความสามารถในการตรวจหา (Hash) กุญแจ API (API Key) ของ Windows จากไฟล์ DLL ของระบบ อย่างเช่น GetSystemDefaultLCID, GetLocaleInfoW, และ GetUserGeoID เพื่อเก็บไว้ใช้งานในภายหลัง

การป้องกันการทำงานบนสภาวะจำลอง (Anti-Sandbox) ด้วยการใช้ฟังก์ชันทดสอบ อย่าง GetTickCount() ด้วยการตรวจสอบว่าตัวเครื่องกำลังทำงานอยู่บนระบบ Sandbox หรือไม่ จากการตรวจสอบเวลาทำงาน (Uptime) ของตัวเครื่อง

นอกจากนั้นยังพบว่าในส่วนของข้อมูลของหน่วยความจำ (Memory String) มีการระบุถึงเครื่องมือของนักพัฒนาซอฟต์แวร์ อย่าง CockroachDB, Postman, BitBucket, และ FastAPI ทำให้คาดหมายว่า ตัวมัลแวร์อาจเพ่งเล็งที่จะขโมย API Key หรือ รหัสผ่านที่อยู่ภายในฐานข้อมูล (Database) ที่ซอฟต์แวร์เหล่านี้ทำงานหรือดูแลอยู่ก็เป็นได้

ไฟล์วิดีโอเกม Battlefield 6 เวอร์ชันแคร็ก Battlefield 6 V4.8.8 DLCs - Bonuses -RUNE

สำหรับตัวนี้จะเป็นไฟล์ที่แฝงเครื่องมือ C2 Agent สำหรับการสร้างความคงอยู่ของมัลแวร์บนเครื่องของเหยื่อ เพื่อรับประกันว่าตัวมัลแวร์จะสามารถติดต่อกับเซิร์ฟเวอร์ควบคุม หรือ C2 (Command and Control) ได้ตลอดมา ด้วยการแอบอ้างเป็นไฟล์จำลองแผ่น (Disc Image) สำหรับติดตั้งตัวเกมที่มาพร้อมกับคอนเทนต์ดาวน์โหลดเพิ่มเติม (Downloadable Content หรือ DLC) ในรูปแบบไฟล์ ISO

ซึ่งภายในตัวไฟล์นั้นจะมีการซ่อนไฟล์สำหรับรันในรูปแบบ MZ Executable ขนาด 25 MB ที่ภายในตัวไฟล์นั้นมี Object แบบ ZLIB ที่ถูกบีบอัดอยู่ ซึ่งหลังจากรันไฟล์ดังกล่าวแล้วก็จะนำไปสู่ขั้นตอนดังนี้

คล้ายไฟล์ ZLIB ออกมา

ตัวระบบจะทำการเขียนไฟล์ 2GreenYellow.dat ลงไปยังโฟลเดอร์ของผู้ใช้งาน (User’s Directory)

หลังจากนั้นตัวมัลแวร์จะทำการรันไฟล์ดังกล่าวอย่างเงียบเชียบผ่านทาง regsvr32.exe /s /i "C:Users2GreenYellow.dat

ตัวปักธง (Flag) /i ที่อยู่บน Path การรันในขั้นตอนก่อน จะนำไปสู่การใช้งานฟังก์ชัน Export ของ DllInstall ที่จะนำไปสู่การคลายไฟล์ DLL ดังนี้

DllRegisterServer

DllInstall

DllUnRegisterServer

หลังจากนั้นตัว DLL จะทำการติดต่อกับ ei-in-f101[.]1e100[.]net ซึ่งอาจเป็นเซิร์ฟเวอร์ C2 หรือเป็นตัวกลางในการติดต่อ (Relay) ก็ได้ โดยโดเมนดังกล่าวนั้นอยู่ภายใต้การให้บริการของ Google

ถ้าติดต่อสำเร็จ เซิร์ฟเวอร์ C2 ก็จะสามารถรันเพื่อติดตั้งไฟล์มัลแวร์ลงมาบนเครื่องของเหยื่อ หรือ แอบขโมยไฟล์ (Exfiltration) จากเครื่องของเหยื่อได้