พบแฮกเกอร์อ้างแจกแอปดู OnlyFans ฟรี ติดตั้งแล้วติดมัลแวร์ CRPx0
จากรายงานโดยเว็บไซต์ Security Week ได้กล่าวถึงการตรวจพบแคมเปญแพร่กระจายมัลแวร์ประเภทขโมยเหรียญคริปโตเคอร์เรนซี (Cryptocurrency Theft) ชื่อว่า CRPx0 ที่นอกจากการขโมยเหรียญคริปโตแล้ว ยังมีความสามารถในการลักลอบขโมยข้อมูล (Data Exfiltration) และใช้เป็นฐานในการปล่อยมัลแวร์ประเภทเรียกค่าไถ่ หรือ Ransomware โดยมัลแวร์ตัวนี้สามารถทำงานได้ทั้งบนระบบปฏิบัติการ Windows และ macOS นอกจากนั้นทางทีมวิจัยจาก Aryaka Threat Research Labs บริษัทผู้เชี่ยวชาญด้านการตรวจสอบภัยไซเบอร์ ยังพบอีกว่าเวอร์ชัน Linux กำลังอยู่ระหว่างการพัฒนาอีกด้วยจากการที่มัลแวร์ตัวนี้มีเว็บไซต์ของตนเองที่มีการนำเสนอราคาการจัดจำหน่ายมัลแวร์ในราคา 500 ดอลลาร์สหรัฐ (16,227.25 บาท) แบบตลอดชีพ (Lifetime) ไม่เพียงเท่านั้น บนเว็บไซต์ยังได้มีการโอ้อวดว่า ปัจจุบันมีผู้ตกเป็นเหยื่อแล้วกว่า 38 ราย โดยข้อมูลที่ขโมยได้ของเหยื่อ 23 รายนั้นมีวางจำหน่าย ขณะอีกที่ 15 รายรอดพ้นเนื่องจากได้ทำการจ่ายค่าไถ่ข้อมูลเป็นที่เรียบร้อยแล้ว ซึ่งปริมาณข้อมูลที่ขโมยมาได้และอยู่ระหว่างการวางจำหน่ายนั้นมีปริมาณมากถึง 10,839 TB เลยทีเดียว
ทางทีมวิจัยได้เปิดเผยแคมเปญการแพร่กระจายของมัลแวร์ตัวนี้ว่า แฮกเกอร์ที่อยู่เบื้องหลังนั้นใช้การหลอกลวงเหยื่อด้วยวิธีการทำวิศวกรรมทางสังคม (Social Engineering) ด้วยการลวงเหยื่อว่า มีบัญชี (Account) สำหรับการเข้าใช้งานแพลตฟอร์มคอนเทนต์สำหรับผู้ใหญ่ยอดนิยม OnlyFans ฟรี ซึ่งจะมุ่งเน้นไปยังผู้ที่พยายามหาทางเข้าใช้งานแพลตฟอร์มนี้โดยไม่เสียเงิน (แหล่งข่าวไม่ได้ระบุว่าแฮกเกอร์หลอกเหยื่อผ่านทางอีเมล หรือทางเว็บไซต์ปลอม แต่คาดการณ์ว่าเป็นอย่างหลัง) จนมาพบไฟล์ OnlyfansAccounts.zip ที่อ้างว่าสำหรับเข้าใช้งานบัญชี OnlyFan ที่อนุญาตให้ผู้ใช้งานรับชมคอนเทนต์ที่ต้องจ่ายเงินได้
โดยภายในไฟล์ดังกล่าวนั้น เมื่อคลายออกมาจะมีไฟล์ Internet Shortcut นามสกุล .lnk ชื่อ Onlyfans Accounts.lnk ซึ่งถ้าเหยื่อเปิดขึ้นมา ภายในนั้นเหยื่อจะเห็นข้อมูลที่อ้างว่าเป็นรหัสผ่านใช้งานบัญชี OnlyFan ที่ถูกแฮกมา (Compromised Account) ให้ดาวน์โหลดภายใต้ชื่อไฟล์ว่า Accounts.txt ซึ่งภายในนั้นจะมีหัวข้อ ’50 working Onlyfans account’ และข้อมูลที่อ้างว่าเป็นรหัสผ่านเหล่านั้นให้เหยื่อตายใจ แต่ในฉากหลังนั้นกลับเป็นการดาวน์โหลดและติดตั้งมัลแวร์ ซึ่งหลังจากที่ติดตั้งมัลแวร์เป็นที่เรียบร้อยแล้ว ตัวมัลแวร์ก็จะทำการติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) โดยในขณะเดียวกันนั้นเอง ตัวมัลแวร์ก็จะทำการเก็บข้อมูลสภาพแวดล้อมของระบบ (System Environment), สร้างความคงทนบนระบบ (Persistence) นอกจากนี้ตัวมัลแวร์ยังสามารถตรวจสอบเวอร์ชันใหม่ ๆ เพื่อทำการอัปเดตตัวเองอย่างอัตโนมัติได้ด้วย
สำหรับการทำงานของมัลแวร์นั้นจะเป็นออกเป็น 3 ส่วน คือ
การขโมยเหรียญคริปโตเคอร์เรนซี (Cryptocurrency Theft) จะทำการด้วยการสับเปลี่ยนที่อยู่ของกระเป๋าเงิน (Wallet Address) บน Clipboard ให้เป็นของแฮกเกอร์เพื่อให้เหยื่อโอนเงินผิด
การขโมยข้อมูล (Data Exfiltration) ทางเซิร์ฟเวอร์ C2 จะทำการกำหนดไฟล์ประเภทที่จะขโมย โดยจะครอบคลุมถึงไฟล์เอกสาร, ไฟล์สื่อ (Media), ไฟล์โค้ดพัฒนาซอฟต์แวร์, ไฟล์ที่เกี่ยวข้องกับงานออกแบบและงานวิศวกรรม แล้วลักลอบส่งออกจากเครื่องไปยังเซิร์ฟเวอร์ C2
การปล่อยมัลแวร์เรียกค่าไถ่ (Ransomware) หลังจากข้อมูลถูกขโมยเสร็จเรียบร้อยในขั้นตอนที่ผ่านมา มัลแวร์ก็จะส่งคำสั่งเข้ารหัส (Encryption) เพื่อทำการดาวน์โหลดไฟล์แรนซัมแวร์ (Payload) ชื่อว่า crypter.py ลงมาจากเซิร์ฟเวอร์ C2 แล้วทำการติดตั้งลงบนเครื่อง หลังจากนั้นตัวแรนซัมแวร์ที่ติดตั้งเสร็จ ก็จะสร้างกุญแจเฉพาะ (Unique Key) ด้วยกลไก Fernet สำหรับการเข้ารหัสแบบ AES หลังจากนั้นจึงทำการเข้ารหัสไฟล์ที่กำหนดให้เป็นไฟล์สกุล ‘.crpx0’ โดยยกเว้นโฟลเดอร์ที่เกี่ยวกับระบบเพื่อให้มั่นใจว่าระบบหลัก ๆ จะยังคงทำงานได้อยู่ แล้วจึงปล่อยจดหมายเรียกค่าไถ่ (Ransom Note) แบบ 3 ภาษา (อังกฤษ, รัสเซีย, จีน) ไว้บนเครื่อง ซึ่งบนจดหมายนั้นจะกำกับให้เหยื่อทำการติดต่อกับแฮกเกอร์เพื่อชำระค่าไถ่ผ่านทางอีเมล, qTox, และ Telegram
เขียนโดย Annonymus TN
สืบทายาทผีกระสือ
4 สุสานที่ใหญ่ที่สุดในประเทศไทย
5 อาชีพที่เด็กไทยใฝ่ฝันอยากจะเป็นมากที่สุด
เผยสถิติเลขออกบ่อย ย้อนหลัง 20 ปี งวดวันที่ 16 กรกฎาคม 2569
6 วิธีออมเงินแปลกๆ จากทั่วโลก ที่ดูเหมือนตลกแต่ได้ผลจริง
ดราม่าดอกไม้ 4 กลีบ! ศาลจีนสั่ง Molly Tea ชดใช้กว่า 55 ล้านบาทให้ Louis Vuitton
10 บิ๊กสกู๊ตเตอร์ที่นิยมในไทย ปี 2026 ขี่สบาย เดินทางไกลได้ดี ฟีเจอร์ครบ
5 มือถือสเปกดีแต่ไม่ค่อยได้รับความนิยมในประเทศไทย
พริกน้ำปลาแบบไหนไม่ควรรับประทาน
คน 10 ประเทศที่มีตาสีฟ้ามากที่สุดในโลก
เปิดลายแทงเลขเด็ด! ส่องสถิติงวด 16 กรกฎาคม 2569 เลขไหนมาแรง วันพฤหัสฯ นี้รู้กัน!
เลขเด็ด "มหาทักษา" งวดวันที่ 16 กรกฎาคม 69 มาแล้ว!..ส่องด่วนเลย!
"เด็กพิเศษ" ไม่ได้แปลว่า "ออทิสติก" เสมอไป
สืบทายาทผีกระสือ
คน 10 ประเทศที่มีตาสีฟ้ามากที่สุดในโลก
5 อาชีพที่เด็กไทยใฝ่ฝันอยากจะเป็นมากที่สุด
จังหวัดในประเทศไทย ที่ไม่มีห้างสรรพสินค้าขนาดใหญ่ตั้งอยู่เลย
“สรรเพชญ” ลงพื้นที่สงขลา มอบกรมเจ้าท่าเร่งสำรวจ-ขุดลอกคลองสะกอม เปิดทางน้ำรับฤดูฝน บรรเทาน้ำท่วมซ้ำซาก
เด็กซนเล่นแรง! ปีน Ferrari 18 ล้านเป็นสไลเดอร์ เจ้าของเห็นคลิปถึงกับกุมขมับ เตรียมฟ้องเรียกค่าซ่อม
เกิดเหตุไฟไหม้ระหว่างการแสดงดอกไม้ไฟฉลองวันประกาศอิสรภาพในนิวยอร์ก ที่สะพาน บรู๊คลิน สร้างความหวาดกลัวให้กับนักท่องเที่ยว
ทรัมป์ได้รับของขวัญสุดหรูอีกชิ้น! แหวน "Freedom 250" ประดับด้วยเพชร 321 เม็ด และมีชื่อของทรัมป์สลักอยู่ด้านใน