หน้าแรก ตรวจหวย เว็บบอร์ด ควิซ Pic Post แชร์ลิ้ง หาเพื่อน Chat หาเพื่อน Line Page อัลบั้ม คำคม Glitter เกมถอดรหัสภาพ คำนวณ การเงิน ราคาทองคำ กินอะไรดี
ข้อตกลงการใช้บริการนโยบายความเป็นส่วนตัวนโยบายเนื้อหานโยบายการสร้างรายได้About Usติดต่อเว็บไซต์แจ้งเนื้อหาไม่เหมาะสม
News บอร์ดต่างๆค้นหาตั้งกระทู้

มัลแวร์ GlassWorm กลับมาอีกครั้ง ในครั้งนี้ใช้เครือข่ายบล็อกเชน Solona ปล่อย RAT เข้าขโมยคริปโตเหยื่อ

เขียนโดย Annonymus TN

มัลแวร์ GlassWorm กลับมาอีกครั้ง ในครั้งนี้ใช้เครือข่ายบล็อกเชน Solona ปล่อย RAT เข้าขโมยคริปโตเหยื่อ

 

เทคโนโลยีบล็อกเชน (Blockchain) โดยมากผู้คนทั่วไปมักจะเข้าใจว่าเป็นเทคโนโลยีที่ใช้กับสกุลเงินดิจิทัลแบบคริปโตเคอร์เรนซี (Cryptocurrency) เท่านั้น แต่ความจริงแล้วเทคโนโลยีนี้สามารถนำไปประยุกต์ใช้ได้หลากรูปแบบ ไม่เว้นแม้แต่การมาเป็นส่วนหนึ่งของระบบโครงสร้างพื้นฐาน (Infrastructure) ของมัลแวร์

 

จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบแคมเปญใหม่ของมัลแวร์ GlassWorm ที่จะนำไปสู่การปล่อยมัลแวร์ประเภทเข้าควบคุมระบบจากระยะไกล หรือ RAT (Remote Access Trojan) ลงบนเครื่องเหยื่อเพื่อใช้ฟีเจอร์ของมัลแวร์อย่าง เช่น การดักจับการพิมพ์ (Keylogging), ขโมยไฟล์ Cookies, ขโมย Token การใช้งาน, แล้วส่งข้อมูลกลับไปให้ยังแฮกเกอร์บนเซิร์ฟเวอร์ภายนอก ทั้งยังมีฟีเจอร์ในการรับคำสั่งจากเซิร์ฟเวอร์เดียวกันแบบตรวจจับได้ยากอีกด้วย ซึ่งสิ่งที่น่าสนใจสำหรับแคมเปญนี้ก็คือ การที่เซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ที่เป็นต้นสาย และเป็นตัวจัดการมัลแวร์ RAT ดังกล่าวนั้น มีการซ่อนที่อยู่ (Address) ไว้บนบันทึก (Memo) ที่เกิดขึ้นระหว่างการทำธุรกรรม (Transaction) บนเครือข่ายบล็อกเชนของ Solana ซึ่งที่อยู่ดังกล่าวจะถูกนำไปแปลงผ่านทาง Resolver ซึ่งจะออกมาเป็นหมายเลขไอพี "45.32.150[.]251" อันเป็นที่อยู่จริงของเซิร์ฟเวอร์ดังกล่าว นอกจากนั้นการรับส่งคำสั่งยังใช้ช่องทางเดียวกันอีกด้วย นับเป็นวิธีการที่ซับซ้อนจนตรวจจับได้ยาก

 

สำหรับตัวแคมเปญ การหลอกให้ติดตั้งมัลแวร์จะเริ่มขึ้นจากการที่แฮกเกอร์สร้างบัญชีปลอม หรือไปแอบขโมยบัญชีสำหรับการใช้งานคลังข้อมูลดิจิทัล (Repo หรือ Repository) ชื่อดัง เช่น npm, PyPI, GitHub และ Open VSX มาใช้งานเพื่ออัปโหลด และปล่อยแพ็คเกจที่มีการสอดไส้มัลแวร์ผ่านทางช่องทางนี้ (ทางแหล่งข่าวไม่ได้กล่าวไว้ว่าเป็นการปล่อยแพ็คเกจอะไร และเป็นซอฟต์แวร์อะไร รวมทั้งใช้วิธีใดในการหลอกให้มาดาวน์โหลด แต่คาดว่าเป็นการใช้งานวิธีการหลอกลวงแบบ Phishing) นอกจากนั้น เพื่อให้มั่นใจว่าตัวมัลแวร์จะอัปเดตได้ตลอดเวลา ทางแฮกเกอร์ยังได้ทำการขโมยบัญชีสำหรับใช้ในการบำรุงรักษาโครงการ (Project Maintainer) มาใช้งานเพื่อการดังกล่าวอีกด้วย

 

หลังจากที่ติดตั้งเสร็จเรียบร้อย ตัวมัลแวร์เริ่มต้นก็จะทำการตรวจสอบว่า เครื่องมีการใช้งานในแถบประเทศรัสเซียหรือไม่ เพื่อหลีกเลี่ยงการมีปัญหากับทางการรัสเซียที่อาจนำไปสู่การปราบปรามกลุ่ม (ทำให้คาดว่ากลุ่มที่อยู่เบื้องหลังน่าจะเป็นแฮกเกอร์ชาวรัสเซีย) รวมทั้งตรวจสอบว่าเครื่องของเหยื่อนั้นใช้ระบบปฏิบัติการใด ? แล้วจึงทำการติดต่อกับเซิร์ฟเวอร์ C2 เพื่อดาวน์โหลดไฟล์มัลแวร์ (Payload) ลงมาผ่านทางช่องทางที่กล่าวไว้ข้างต้น โดยตัว Payload นั้นจะถูกออกแบบมาเพื่อใช้การในการขโมยข้อมูล (Data Theft) ด้วยวิธีการต่าง ๆ เช่น ขโมยรหัสผ่าน, ขโมยกระเป๋าเงินคริปโตเคอร์เรนซี (Crypto Wallet) และข้อมูลเกี่ยวกับระบบทั้งหมด อัดเป็นไฟล์บีบอัดแบบ Zip ส่งไปยังเซิร์ฟเวอร์ภายนอกที่ตั้งอยู่ที่หมายเลขไอพี "217.69.3[.]152/wall" นอกจากเซิร์ฟเวอร์ดังกล่าวนั้นจะเป็นเซิร์ฟเวอร์สำหรับการรับข้อมูลที่ถูกขโมยมาแล้ว ยังพบว่าตัว Payload ตัวสุดท้ายนั้นถูกจัดเก็บ และจะถูกดาวน์โหลดจากเซิร์ฟเวอร์เดียวกันมายังเครื่องของเหยื่ออีกด้วย ซึ่งองค์กรประกอบทั้ง 2 ของชุด Payload จะมีดังนี้

 

Payload ชุดแรก จะเป็นไฟล์สำหรับการรันในรูปแบบ .NET binary ที่ถูกออกแบบเพื่อขโมยข้อมูลกระเป๋าเงินคริปโตเคอร์เรนซี ซึ่งตัว Payload ตัวนี้จะมีการใช้งานฟีเจอร์ Windows Management Instrumentation (WMI) ของ Windows เพื่อตรวจจับการใช้งานไดร์ฟ USB เพื่อเสียบกระเป๋าเงินคริปโตแบบฮาร์ดแวร์ (Hardware Wallet) เช่น Ledger หรือ Trezor หรือไม่ โดยถ้าตรวจพบก็จะแสดงหน้าจอสำหรับการใช้งานกระเป๋า (UI หรือ User Interface) ของกระเป๋าทั้ง 2 ขึ้นมา แล้วหลอกว่ามีการทำงานที่ผิดพลาด (Error) ต้องใส่รหัสกู้กระเป๋า (Seed Phrases) ทั้ง 24 รหัสขึ้นมาใหม่ เพื่อใช้งานกระเป๋า ซึ่งถ้าเหยื่อหลงเชื่อ ก็จะนำไปสู่การสูญเสียเงินทั้งกระเป๋าทันที โดยวิธีการดังกล่าวนั้นเรียกว่าเป็นการก่ออาชญากรรมด้วยวิธี Wallet Phishing นอกจากนั้นมัลแวร์ตัวนี้ยังมีความสามารถในการจัดการไม่ให้ซอฟต์แวร์สำหรับการจัดการกระเป๋าตัวจริงอย่าง Ledger Live สามารถรันขึ้นมาแข่งได้อีกด้วย

 

Payload ตัวที่ 2 จะเป็นมัลแวร์แบบ RAT ในรูปแบบ JavaScript ที่มีการใช้งานตัวจัดการอีเวนท์ของ Google Calendar ในการรับเอาข้อมูลการติดต่อกับเซิร์ฟเวอร์ C2 โดยมีการใช้งานระบบ Distributed Hash Table (DHT) เพื่อจัดการในส่วนนี้ ทำให้ถ้าการติดต่อในช่องทางดังกล่าวมีปัญหา ก็จะเปลี่ยนกลับไปใช้การติดต่อกับเซิร์ฟเวอร์ C2 ผ่านทางเครือข่าย Solana อย่างอัตโนมัติ ซึ่งหลังจากที่มัลแวร์ฝังลงบนเครื่องได้แล้ว ตัวมัลแวร์ก็จะทำการติดตั้งส่วนเสริม (Extension) ที่มีชื่อว่า Google Docs Offline บนเว็บเบราว์เซอร์ Chrome โดยส่วนเสริมตัวนี้จะทำหน้าที่ในการติดต่อเพื่อรับคำสั่งจากเซิร์ฟเวอร์ C2 ซึ่งการทำงานนั้นจะมุ่งเน้นไปยังในส่วนของไฟล์ cookies,ไฟล์ใน localStorage, ข้อมูล Document Object Model (DOM) จากแท็บของเว็บเบราว์เซอร์ที่เปิดใช้งานอยู่, ข้อมูลในส่วน Bookmark, ดักจับการพิมพ์ (Keystroke), แอบบันทึกหน้าจอ (Screenshot), ข้อมูลบน Clipboard, รายชื่อของ Extension ที่ติดตั้งอยู่, และประวัติการใช้งานเว็บเบราว์เซอร์ (History) กว่า 5,000 รายการ นอกจากนั้นยังมีคำสั่งอื่น ๆ ให้ใช้งานอีกมากมาย เช่น

 

start_hvnc / stop_hvnc, ใช้ในการติดตั้งโมดูล Hidden Virtual Network Computing (HVNC) หรือเครือข่ายคอมพิวเตอร์จำลองแบบซ่อนเร้น เพื่อใช้ในการควบคุมเครื่องของเหยื่อจากระยะไกล

start_socks / stop_socks,ใช้ในการเปิดใช้งานโมดูล WebRTC เพื่อนำมาใช้เป็น SOCKS proxy.

reget_log, ใช้สำหรับการขโมยข้อมูลจากเว็บเบราว์เซอร์ต่าง ๆ เช่น Google Chrome, Microsoft Edge, Brave, Opera, Opera GX, Vivaldi, and Mozilla Firefox. โดยคำสั่งนี้สามารถหลบเลี่ยงระบบการเข้ารหัสบนตัวแอปของ Chrome หรือ App-Bound Encryption (ABE) ได้

get_system_info, ใช้ในการส่งข้อมูลระบบเครื่องของเหยื่อกลับไปยังเซิร์ฟเวอร์.

command, ใช้ในการรัน JavaScript ผ่านทางช่องทาง eval()

เนื้อหาโดย: Annonymus TN
⚠ แจ้งเนื้อหาไม่เหมาะสม 
Annonymus TN's profile
มีผู้เข้าชมแล้ว 42 ครั้ง
เขียนโดย Annonymus TN
นักข่าวสายอาชญากรรมไซเบอร์และเทคโนโลยี เชี่ยวชาญการรายงานภัยออนไลน์ เช่น มัลแวร์ การหลอกลวง และการใช้ AI ในทางผิด โดยนำเสนอข้อมูลที่ซับซ้อนให้เข้าใจง่าย กระชับ และตรงประเด็น เพื่อให้ผู้อ่านรู้ทันภัยดิจิทัลก่อนตกเป็นเ
เป็นกำลังใจให้เจ้าของกระทู้โดยการ VOTE และ SHARE
Hot Topic ที่น่าสนใจอื่นๆ
จังหวัดอันดับหนึ่งของไทย ที่โดดเด่นเรื่องนางงามมากที่สุดทำไมบางคนไม่อยากกลับบ้าน ทั้งที่บ้านควรเป็นที่ปลอดภัยส่องแนวทางเลขเด็ดตาทิพย์และเลขปฏิทินหลวงพ่อนำโชค งวดวันที่ 16 กรกฎาคม 25695 สัตว์ป่าไทยหายาก ที่อาจหายไปจากธรรมชาติหากไม่ช่วยกันปกป้อง4 สุสานที่ใหญ่ที่สุดในประเทศไทยของล้ำค่าที่ไม่มีใครเอากลับมา 5 เรื่องจริงของสิ่งที่ถูกทิ้งไว้เฉย ๆเขตของกรุงเทพมหานคร ที่มีสภาพเป็นพื้นที่ชนบทมากที่สุด10 จังหวัดที่มีพระภิกษุสงฆ์และสามเณรมากที่สุดในประเทศไทยAI วิเคราะห์สถิติ 20 ปีหวยงวด 16 ก.ค.69 ให้เลขท้าย 2 ตัวเน้นๆ!เหมืองทองคำที่ลึกที่สุดในโลก10 รายการทีวีไทยยุค 90 ที่ได้รับ ความนิยมมากที่สุดแนวทางจาก "สี่สามสมัย" 16/7/69
Hot Topic ที่มีผู้ตอบล่าสุด
5 ประเทศที่ขาดแคลนผู้หญิงมากที่สุด
กระทู้อื่นๆในบอร์ด ข่าววันนี้
6 นักสำรวจถ้ำ ที่ดับระหว่างสำรวจ"โจว ซิงฉือ" กลับมากำกับหนังแนว "นักเตะเสี้ยวลิ้มยี่"พระญี่ปุ่นจุดไฟเผาวัดเพราะไม่พอใจการฝึกฝนญี่ปุ่นประกาศแผนเพิ่มค่าธรรมเนียม การขอถิ่นที่อยู่ถาวรขึ้น 20 เท่า!!
ตั้งกระทู้ใหม่