มัลแวร์ขโมยข้อมูลตัวใหม่ Omnistealerใช้พลังของบล็อกเชนในการเข้าขโมยข้อมูล

มัลแวร์ขโมยข้อมูลตัวใหม่ Omnistealer มาเหนือ ใช้พลังของบล็อกเชนในการเข้าขโมยข้อมูล

มัลแวร์ประเภทขโมยข้อมูล หรือ Infostealer นั้นเรียกได้ว่าเป็นภัยร้ายที่กำลังมาแรงในปัจจุบันไม่แพ้มัลแวร์ประเภทอื่น ทั้งยังมีการพัฒนาเทคนิคในการขโมยข้อมูลในรูปแบบใหม่ ๆ อยู่ทุกวัน โดยในครั้งนี้ก็เรียกได้ว่าเป็นเทคนิคระดับเหนือชั้น จากการใช้งานเทคโนโลยีล่าสุดมาร่วมปฏิบัติการขโมยข้อมูลเลยทีเดียว

จากรายงานโดยเว็บไซต์อย่างเป็นทางการของผู้พัฒนาเครื่องมือต่อต้านมัลแวร์ชื่อดัง Malwarebytes ได้กล่าวถึงการตรวจพบมัลแวร์ประเภท Infostealer ตัวใหม่ชื่อ Omnistealer ซึ่งมัลแวร์นี้มีจุดเด่นที่แตกต่างไปจากมัลแวร์แบบเดิม ๆ ที่มักจะถูกฝากขึ้นไปบนบริการที่ได้รับการไว้วางใจ (Trustworthy) เพื่อให้เหยื่อตายใจและดาวน์โหลดมัลแวร์ลงบนเครื่อง เช่น Google docs, OneDrive, GitHub, npm และ PyPI เป็นต้น แต่มัลแวร์ตัวนี้กลับใช้การฝากโค้ดไว้บนธุรกรรม (Transaction) ต่าง ๆ ของระบบเครือข่ายบล็อกเชน (Blockchain) หลากเครือข่าย เช่น TRON, Aptos, และ Binance Smart Chain เป็นต้น โดยแฮกเกอร์ที่อยู่เบื้องหลังนั้นจะทำการซ่อนโค้ดไว้ในส่วนข้อมูลที่ผู้ทำธุรกรรมสามารถป้อนได้ตามใจชอบ (Arbitary Data) เช่น Notes, Metadata, และ Smart Contract Inputs ซึ่งข้อมูลของมัลแวร์ที่ถูกใส่ไว้ในช่องทางนี้ มักจะประกอบด้วย

ข้อความเข้ารหัส (Encrypted Text)

คำสั่งที่ถูกเข้ารหัส (Encoded Command)

และ เศษโคดของมัลแวร์

โดยการที่ถูกฝากไว้บนธุรกรรมของระบบบล็อกเชนที่จะปรากฎให้เห็นบนกระดานสาธารณะ (Public Ledger) นั้นทำให้การลบทิ้งและการเซ็นเซอร์นั้นเป็นไปไม่ได้ เพราะอะไรที่ปรากฎบนเครือข่ายบล็อกเชนนั้นจะไม่สามารถถูกลบทิ้งได้อย่างเด็ดขาด

ในส่วนของการเข้าถึงเหยื่อนั้น จะเป็นการหลอกให้เหยื่อทดลองทำโครงการ (Project) ตัวหนึ่งเพื่อการสมัครงาน โดยแฮกเกอร์มักจะติดต่อเข้ามาผ่านทางโซเชียลมีเดียสำหรับคนทำงานอย่าง Likedin หรือ กระดานหางานอย่าง Upwork โดยหลอกให้เหยื่อเข้าไปยังคลังดิจิทัล (Repo หรือ Repository) ของ Github เพื่อรับโค้ดที่ดูเหมือนโค้ดโครงการปกติมารัน ซึ่งเมื่อรันไปแล้ว โค้ดจะทำงานในฉากหลัง (Background Running) เพื่อไปดึงโค้ดและคำสั่งของมัลแวร์ที่ถูกฝากไว้ในแต่ละธุรกรรมบนเครือข่ายบล็อกเชน มาประกอบร่างและปล่อยไฟล์มัลแวร์ (Payload) ตัวจริงลงมาบนเครื่องของเหยื่อกในท้ายที่สุด

มัลแวร์ตัวนี้มีความสามารถในการขโมยข้อมูลที่หลากหลายมาก โดยจะครอบคลุมถึง

โปรแกรมจัดการรหัสผ่าน (Password Manager) มากถึง 10 ตัว

รหัสผ่านที่ถูกบันทึกไว้บนเว็บเบราว์เซอร์ยอดนิยม เช่น Chrome และ Firefox

รหัสผ่านบัญชีที่เกี่ยวข้องกับระบบเก็บข้อมูลบนคลาวด์ (Cloud Storage) เช่น Google Drive

และ รหัสเข้าใช้งานกระเป๋าเงินคริปโตเคอร์เรนซี (Crypto Wallet) ที่ทำงานในรูปแบบส่วนเสริมบนเว็บเบราว์เซอร์ (Extension) มากกว่า 60 ตัว โดยครอบคลุมถึงกระเป๋ายอดนิยมอย่าง MetaMask และ Coinbase

ปัจจุบันมัลแวร์ตัวนี้สามารถขโมยรหัสผ่านไปได้มากถึง 3 แสนชุดเป็นที่เรียบร้อยแล้ว โดยครอบคลุมรหัสสำหรับการใช้งานแพลตฟอร์มจำนวนมาก ไม่ว่าจะเป็นแพลตฟอร์มทางการเงิน, แพลตฟอร์มสำหรับการสั่งอาหาร (Food Delivery), แพลตฟอร์มของผู้ที่ทำงานให้กับทางราชการของประเทศสหรัฐอเมริกา, ไปจนถึงแพลตฟอร์มสำหรับการรับชมภาพยนตร์ลามก