พบแคมเปญมุ่งโจมตีผู้เล่นเกม Minecraft ติดมัลแวร์แล้วมากกว่าแสนเครื่อง

ตรวจพบแคมเปญมุ่งโจมตีผู้เล่นเกม Minecraft ติดมัลแวร์แล้วมากกว่าแสนเครื่อง

จากรายงานโดยเว็บไซต์ Help New Security ได้กล่าวถึงการตรวจพบแคมเปญแพร่กระจายมัลแวร์ WeedHack ซึ่งเป็นมัลแวร์แบบลูกผสมระหว่างมัลแวร์แบบขโมยข้อมูลจากเครื่องของเหยื่อ หรือ Infostealer และมัลแวร์ประเภทเข้าควบคุมเครื่องของเหยื่อจากระยะไกล หรือ RAT (Remote Access Trojan) ซึ่งถูกปล่อยให้เช่าใช้ในรูปแบบ MaaS (Malware-as-a-Service) ในราคาที่ไม่แพงมาก เพียง 5 ดอลลาร์สหรัฐต่อเดือน (163.76 บาท) และ 24.99 ดอลลาร์สหรัฐต่อเดือน (818.35 บาท) สำหรับแผนการใช้งานแบบตลอดชีพ รวมทั้งยังมีรูปแบบการใช้งานโดยไม่เสียค่าใช้จ่ายอีกด้วย ทำให้สามารถเข้าถึงแฮกเกอร์รายย่อยได้เป็นจำนวนมาก ซึ่งแต่ละแผนการใช้งานนั้นจะมีรายละเอียดดังนี้

แบบฟรี จะทำงานในรูปแบบมัลแวร์ Infostealer โดยเน้นขโมยข้อมูลต่าง ๆ เกี่ยวกับการเล่นวิดีโอเกม Minecraft เช่น Session ID และ ข้อมูลจากตัว Launcher ทั้ง 4 ตัว นอกจากนั้นยังสามารถขโมยข้อมูลเกี่ยวกับระบบของเหยื่อ, ข้อมูลไฟล์ Cookies, และข้อมูลรหัสผ่านจากเว็บเบราว์เซอร์ถึง 36 ตัว ไม่เพียงเท่านั้น ตัวมัลแวร์ยังสามารถขโมยข้อมูลจากกระเป๋าเงินคริปโตเคอร์เรนซี (Crypto Wallet) แบบส่วนเสริมของเว็บเบราว์เซอร์ถึง 56 ตัว และ แบบเดสก์ท็อป ถึง 12 ตัว, ข้อมูลจากแอปพลิเคชันแชท อย่าง Discord, Steam, และ Telegram, ค้นหาข้อมูลในเครื่องด้วยคำ (Keyword) ถึง 24 คำที่ถูกกำหนดไว้, ทั้งยังสามารถแอบบันทึกหน้าจอ (Screenshot) ได้อีกด้วย

เวอร์ชันจ่ายเงิน (Premium) จะมีความสามารถแบบมัลแวร์ RAT เพิ่มขึ้นมา โดยจะเปิดช่องให้แฮกเกอร์สามารถเข้าถึงส่วนสำคัญ เช่น กล้องเว็บแคม, การแอบดักจับการพิมพ์ (Keylogging), การแชร์หน้าจอ พร้อมใช้เมาส์และคีย์บอร์ดเข้าควบคุมหน้าจอของเหยื่อได้, ความสามารถในการอัปโหลดและดาวน์โหลดไฟล์จากเครื่องของเหยื่อ, และการทำ Reverse Shell เป็นต้น

โดยทางทีมวิจัยจาก MacAfee บริษัทผู้พัฒนาซอฟต์แวร์แอนตี้ไวรัส (Anti-Virus) ชื่อดัง กล่าวว่า แคมเปญนี้ได้มุ่งเน้นไปยังกลุ่มผู้เล่นวิดีโอเกม Minecraft ซึ่งตั้งแต่เดือนมกราคมที่ผ่านมาถึงปัจจุบันนั้น มีผู้ติดมัลแวร์ตัวนี้ไปแล้วมากกว่า 1 แสนราย โดยมีผู้ติดมัลแวร์รายใหม่ ๆ ตกเฉลี่ยแล้ววันละ 2,000 - 3,000 ราย ซึ่งตัวแคมเปญนี้นั้นแฮกเกอร์จะใช้บัญชี Youtube ที่โดนแฮกมาเพื่อหลอกว่ามีส่วนเสริมสำหรับดัดแปลงวิดีโอเกม (Mods) และเครื่องมือต่าง ๆ เกี่ยวกับวิดีโอเกม Minecraft ให้ดาวน์โหลดฟรีพร้อมกับลิงก์แหล่งดาวน์โหลดวางไว้อยู่ในส่วนรายละเอียด (Description) และ คอมเมนต์ของตัวคลิป ซึ่งมักจะนำพาเหยื่อไปยังคลังดิจิทัล (Repo หรือ Repository) เช่น GitHub หลอกให้เหยื่อดาวน์โหลดไปติดตั้ง

ในด้านการใช้งานสำหรับแฮกเกอร์ที่ซื้อ หรือ เช่าไปนั้นก็เรียกว่าง่ายแสนง่าย เพราะมีหน้าจอควบคุม (Dashboard) แบบ Web-Based ที่ช่วยให้แฮกเกอร์สามารถเข้าถึงข้อมูลต่าง ๆ ที่ขโมยมาจากเหยื่อได้ ทั้งยังมีเครื่องมือสร้างไฟล์มัลแวร์สำหรับหย่อนเข้าเครื่องของเหยื่อ (Payload Builder) ซึ่งตัว Payload ที่ถูกสร้างขึ้นด้วยเครื่องมือชิ้นนี้มีความสามารถในการยิงโค้ดมัลแวร์ (Injection) ใส่เข้าไปใน Mods แท้ของ Minecraft ที่สนับสนุนการใช้งานกับวิดีโอเกมตั้งแต่เวอร์ชัน 1.21.0 ถึง 1.21.11 ได้ ไม่เพียงเท่านั้นตัวมัลแวร์ยังมาพร้อมกับเอกสารสำหรับผู้ใช้งาน (Documentation) ที่ครอบคลุมการใช้งานอย่างครบถ้วน ผู้พัฒนามัลแวร์ยังเปิดให้ลูกค้าโหวตได้ว่าจะเสริมความสามารถใดให้กับมัลแวร์ในเวอร์ชันถัดไปอีกด้วย