หน้าแรก ตรวจหวย เว็บบอร์ด ควิซ Pic Post แชร์ลิ้ง หาเพื่อน Chat หาเพื่อน Line Page อัลบั้ม คำคม Glitter เกมถอดรหัสภาพ คำนวณ การเงิน ราคาทองคำ กินอะไรดี
ข้อตกลงการใช้บริการนโยบายความเป็นส่วนตัวนโยบายเนื้อหานโยบายการสร้างรายได้About Usติดต่อเว็บไซต์แจ้งเนื้อหาไม่เหมาะสม
News บอร์ดต่างๆค้นหาตั้งกระทู้

ScarCruft เข้าแฮกแพลตฟอร์มเกม SQGame ปล่อยมัลแวร์ BirdCall ใส่ระบบ Android และ Windows

เขียนโดย Annonymus TN

ScarCruft เข้าแฮกแพลตฟอร์มเกม SQGame ปล่อยมัลแวร์ BirdCall ใส่ระบบ Android และ Windows

 

ในยุคปัจจุบันนั้นการซื้อวิดีโอเกมมักจะเป็นการทำผ่านแพลตฟอร์มต่าง ๆ แทนที่จะเป็นการซื้อแผ่นแบบดั้งเดิม ซึ่งแพลตฟอร์มที่ให้บริการด้านการจัดจำหน่ายวิดีโอเกมนั้นก็มีมากมายอยู่หลายแห่ง ซึ่งแต่ละที่ก็มักจะมีการนำเสนอถึงความปลอดภัยในการใช้งานแพลตฟอร์มว่าแพลตฟอร์มนั้นมีความปลอดภัยมาก ทว่า หลายแพลตฟอร์มก็หนีไม่พ้นการถูกแฮก หรือใช้ช่องโหว่ด้านการตรวจสอบเพื่อปล่อยมัลแวร์ เช่นข่าวนี้

 

จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบแคมเปญปล่อยมัลแวร์ประเภทเปิดประตูหลังของระบบ หรือ Backdoor ที่มีชื่อว่า BirdCall ด้วยการแฮกแพลตฟอร์มจัดจำหน่ายวิดีโอเกม SQGame (sqgame[.]net) ซึ่งเป็นแพลตฟอร์มที่เป็นที่นิยมใช้งานโดยผู้อยู่อาศัยชาวเกาหลีในแถบย่านชายแดนจีน-เกาหลีเหนือ-รัสเซีย โดยพื้นที่ดังกล่าวนั้นเรียกได้ว่าเป็นจุดเปราะบางด้านความมั่นคง และด้านความสัมพันธ์ระหว่างประเทศ เนื่องจากมักจะเป็นพื้นที่ที่เหล่าผู้แปรพักตร์ชาวเกาหลีหนี ทำการข้ามแม่น้ำเพื่อหนีออกจากประเทศเกาหลีเหนืออยู่บ่อย ๆ ทำให้ทางทีมวิจัยจาก ESET บริษัทผู้พัฒนาซอฟต์แวร์แอนตี้ไวรัส (Anti-Virus) ยอดนิยมคาดการณ์ว่า แคมเปญดังกล่าวอาจมีจุดประสงค์เพื่อเล่นงานกลุ่มผู้แปรพักตร์, นักเคลื่อนไหวด้านสิทธิมนุษยชน และเหล่าอาจารย์มหาวิทยาลัย ที่อยู่ในแถบดังกล่าวเป็นหลัก

 

สำหรับตัวมัลแวร์ดังกล่าวนั้น ทางทีมวิจัยกล่าวว่า ไม่ใช่ของใหม่แต่อย่างใด แต่มีการถูกใช้งานโดยกลุ่มแฮกเกอร์ ScarCruft จากประเทศเกาหลีเหนือมาตั้งแต่ช่วงปี ค.ศ. 2024 (พ.ศ. 2567) แล้ว โดยในช่วงดังกล่าวนั้นจะเป็นการใช้มัลแวร์ BirdCall เวอร์ชันเก่าที่มุ่งเน้นการโจมตีไปยังกลุ่มผู้ใช้งานระบบปฏิบัติการ Windows เป็นหลัก แต่ในช่วง ค.ศ. 2025 (พ.ศ. 2568) ที่ผ่านมานั้นได้มีการตรวจพบเวอร์ชัน Android ที่มากับวิดีโอเกมสำหรับการใช้งานบนระบบปฏิบัติการ Android ที่ถูกดาวน์โหลดมาจากเว็บไซต์ดังกล่าว

 

มัลแวร์ BirdCall เวอร์ชัน Android นั้นจะใช้การฝังตัวแบบหลายขั้นตอน (Multi-Stage Infection) ด้วยการใช้งานสคริปท์ภาษา Ruby หรือ Python เป็นตัวเริ่มกระบวนการการฝังตัว โดยตัวมัลแวร์นั้นมีความสามารถคล้ายกับมัลแวร์แบบ Backdoor ตัวอื่น ๆ เช่น ฟังก์ชันในการแอบบันทึกหน้าจอบนเครื่องของเหยื่อ, ฟีเจอร์ดักจับการพิมพ์ (Keystroke Logging), ฟีเจอร์ขโมยข้อมูลที่ถูกบันทึกอยู่บน Clipboard, ฟีเจอร์ขโมยข้อมูลต่าง ๆ, และ ฟีเจอร์สำหรับการรันคำสั่ง Shell บนเครื่องของเหยื่อ ซึ่งประเภทของข้อมูลที่สามารถขโมยได้นั้นก็มีมากมาย ไม่ว่าจะเป็น ข้อความสั้น (SMS หรือ Short Message Service), รายชื่อผู้ติดต่อ (Contact List), ไฟล์สื่อ (Media), ภาพบันทึกหน้าจอ (Screenshot), ไฟล์เอกสาร, ไฟล์เสียงต่าง ๆ นอกจากนั้นทางทีมวิจัยยังพบอีกว่ามัลแวร์เวอร์ชัน Android นั้นได้มีการใช้บริการคลาวด์ที่มีชื่อเสียงเพื่อใช้ในการเป็นระบบควบคุม หรือ C2 (Command and Control) เช่น pCloud, Yandex Disk, และ Zoho WorkDrive

 

โดยไฟล์วิดีโอเกมที่เป็นต้นเหตุของมัลแวร์ดังกล่าวนั้น ทางทีมวิจัยได้เผยว่ามีรายชื่อ ดังนี้

 

sqgame.com[.]cn/ybht.apk

sqgame.com[.]cn/sqybhs.apk

 

ซึ่งการที่ไฟล์วิดีโอเกมดังกล่าวนั้นมีมัลแวร์แทรกอยู่ ทางทีมวิจัยได้คาดการณ์ว่าจะมาจากการโจมตีห่วงโซ่อุปทาน (Supply Chain Attack) ด้วยการแฮกเว็บไซต์แล้วสับเปลี่ยนไฟล์ APK สำหรับใช้ในการติดตั้งวิดีโอเกมเป็นเวอร์ชันที่แฮกเกอร์สอดไส้มัลแวร์ลงไปแทน

 

สำหรับเวอร์ชัน Windows ที่พบการระบาดมาตั้งแต่ปี ค.ศ. 2024 (พ.ศ. 2567) นั้นจะใช้วิธีการที่ต่างออกไป ด้วยการใช้ตัวแพ็คเกจสำหรับการอัปเดตปลอม มาเป็นตัวล่อ ซึ่งถ้าเหยื่อติดตั้งตัวอัปเดตดังกล่าวลงไป ก็จะเป็นการฝังไฟล์ DLL ของตัวมัลแวร์ที่ทำหน้าที่เป็นมัลแวร์นกต่อ (Loader) ซึ่งตัวมัลแวร์นี้จะทำการตรวจสอบ Process ต่าง ๆ เพื่อให้แน่ใจว่าไม่มีเครื่องมือสำหรับการวิเคราะห์มัลแวร์กำลังรันอยู่ และไม่ได้ทำงานอยู่ในสภาวะล้อมจำลอง (Virtual Machine) ซึ่งถ้าตรวจไม่พบ ก็จะทำการดาวน์โหลดและรันโค้ด Shell เพื่อติดตั้งมัลแวร์แบบเข้าควบคุมเครื่องจากระยะไกล (RAT หรือ Remote Access Trojan) ชื่อ RokRAT ลงมาติดตั้ง โดยมัลแวร์ตัวนี้ทำหน้าที่ในการติดตั้งมัลแวร์ BirdCall เวอร์ชัน Windows อีกที

เนื้อหาโดย: Annonymus TN
⚠ แจ้งเนื้อหาไม่เหมาะสม 
Annonymus TN's profile
มีผู้เข้าชมแล้ว 32 ครั้ง
เขียนโดย Annonymus TN
นักข่าวสายอาชญากรรมไซเบอร์และเทคโนโลยี เชี่ยวชาญการรายงานภัยออนไลน์ เช่น มัลแวร์ การหลอกลวง และการใช้ AI ในทางผิด โดยนำเสนอข้อมูลที่ซับซ้อนให้เข้าใจง่าย กระชับ และตรงประเด็น เพื่อให้ผู้อ่านรู้ทันภัยดิจิทัลก่อนตกเป็นเ
เป็นกำลังใจให้เจ้าของกระทู้โดยการ VOTE และ SHARE
Hot Topic ที่น่าสนใจอื่นๆ
เปิด 3 ประเทศยอดฮิตที่เด็ก สปป.ลาว นิยมไปเรียนต่อต่างประเทศ5 ของเล่นยุค 90 ที่ยังมีมูลค่าสูงในตลาดนักสะสมAI วิเคราะห์สถิติ 20 ปีหวยงวด 16 ก.ค.69 ให้เลขท้าย 2 ตัวเน้นๆ!ทำไมปุ่ม F และ J ถึงมีขีดนูนเล็ก ๆ บนคีย์บอร์ดจังหวัดอันดับหนึ่งของไทย ที่โดดเด่นเรื่องนางงามมากที่สุดพ.ร.บ. รถยนต์ คืออะไร ทำไมเจ้าของรถต้องต่อทุกปี5 รถมอเตอร์ไซค์ที่ทำตลาดในไทยได้ ไม่ดี และมียอดขายไม่สูงทำไมกฎหมายต้องกำหนดอายุขั้นต่ำของผู้ขับขี่กิจวัตรของพระธุดงค์ คืออะไร ใช้ชีวิตอย่างไรในแต่ละวันเขตของกรุงเทพมหานคร ที่มีสภาพเป็นพื้นที่ชนบทมากที่สุดแนวทางเลข "ม้าวิ่ง" 16 กรกฏาคม 2569ดราม่าดอกไม้ 4 กลีบ! ศาลจีนสั่ง Molly Tea ชดใช้กว่า 55 ล้านบาทให้ Louis Vuitton
Hot Topic ที่มีผู้ตอบล่าสุด
5 ของเล่นยุค 90 ที่ยังมีมูลค่าสูงในตลาดนักสะสมทำไมปุ่ม F และ J ถึงมีขีดนูนเล็ก ๆ บนคีย์บอร์ดรู้จัก 5 นักธุรกิจใหญ่ลาว รวยเงียบแต่บทบาทไม่ธรรมดากิจวัตรของพระธุดงค์ คืออะไร ใช้ชีวิตอย่างไรในแต่ละวันพ.ร.บ. รถยนต์ คืออะไร ทำไมเจ้าของรถต้องต่อทุกปี6 นักแสดงที่เคยไร้บ้าน ก่อนก้าวสู่ฮอลลีวูด
กระทู้อื่นๆในบอร์ด ข่าววันนี้
ชาวเน็ตสงสัยว่า วันเดอร์เฟรมและลิซ่าเคยเป็นเด็กฝึกกลุ่มเดียวกันหรือไม่ หลังจากมีคลิปวิดีโอสมัยเป็นเด็กฝึกที่เกาหลีเปิดเผยออกมาชาวเน็ตสงสัยว่า วันเดอร์เฟรมและลิซ่าเคยเป็นเด็กฝึกกลุ่มเดียวกันหรือไม่ หลังจากมีคลิปวิดีโอสมัยเป็นเด็กฝึกที่เกาหลีเปิดเผยออกมา6 นักแสดงที่เคยไร้บ้าน ก่อนก้าวสู่ฮอลลีวูดรวมการ์ตูนสุดน่ากลัว จากทั่วโลกสำหรับเด็ก
ตั้งกระทู้ใหม่