พบมัลแวร์กระจายตัวผ่านไดร์ฟ USB มุ่งขโมยเงินคริปโต
ตรวจพบมัลแวร์กระจายตัวผ่านไดร์ฟ USB มุ่งขโมยเงินคริปโต
เหยื่อ
จากรายงานโดยเว็บไซต์ Bleeping Computer ได้กล่าวถึงการตรวจพบมัลแวร์แบบ Worm ตัวใหม่ที่มีความสามารถในการแพร่กระจายตัวเองต่อที่ร้ายกาจ โดยมัลแวร์ที่ไม่ระบุชื่อตัวนี้นั้นจะเป็นการทำงานประสานกันระหว่างไฟล์ที่อยู่บนไดร์ฟ USB และเครือข่าย TOR ซึ่งทางทีมวิจัยจากไมโครซอฟท์ได้ระบุว่า การติดมัลแวร์จะเริ่มต้นจากที่เหยื่อทำการคลิ๊กไฟล์ LNK ซึ่งเป็นไฟล์แบบ Internet Shortcut ที่ถูกใช้งานเป็นตัวล่อ ซึ่งจะนำไปสู่การกระตุ้นไฟล์มัลแวร์ (Payload) ที่อยู่ภายในไฟล์อีกตัวหนึ่งบนไดร์ฟ USB ที่ติดเชื้อ และท้ายสุดก็จะนำไปสู่การรันสคริปท์ PowrerShell เพื่อติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) บนเครือข่าย TOR ซึ่งจะมีชื่อโดเมนที่ลงท้ายด้วย .ONION แล้วดาวน์โหลด Payload ตัวท้ายสุดของเวิร์มลงมาติดตั้ง หลังจากที่เวิร์มติดตั้งเสร็จสมบูรณ์แล้ว ตัวเวิร์มก็จะเริ่มทำการแพร่กระจายตัวเองด้วยการสแกนหาเอกสาร (Document) ต่าง ๆ ที่อยู่บนไดร์ฟที่เชื่อมต่อกับระบบแบบ Local แล้วแทนที่ไฟล์เหล่านั้นด้วยไฟล์ LNK ของมัลแวร์แทนเพื่อเตรียมพร้อม จากนั้นตัวเวิร์มก็จะทำการตั้งเวลาการทำงาน (Task Scheduling) เพื่อเฝ้าติดตามไดร์ฟ USB ตัวใหม่ที่จะถูกเสียบเข้ามาในอนาคต เพื่อแพร่กระจายตัวลงบนไดร์ฟ USB ตัวใหม่ต่อไป
ในส่วนของ Task Schedule นั้นนอกจากจะเป็นการตั้งเวลาการทำงานเพื่อเหตุผลข้างต้นแล้ว ภายในนั้นยังมีการตั้งเวลาเพื่อดาวน์โหลดมัลแวร์ประเภทขโมยข้อมูลจากเครื่องของเหยื่อ หรือ Infostealer ในรูปแบบมัลแวร์ที่ขโมยข้อมูลจาก Clipboard หรือที่เรียกว่า Clipper Malware ที่มุ่งเน้นการขโมยข้อมูลที่เกี่ยวข้องกับกระเป๋าเงินคริปโตเคอร์เรนซี (Cryptocurrency) ซึ่งในส่วนของการติดตั้งนั้น จะเป็นการดาวน์โหลดไฟล์ Payload ที่มีชื่อว่า ugate.exe ลงมาจากเซิร์ฟเวอร์ C2 เพื่อทำการติดตั้ง ซึ่งในการทำงานของมัลแวร์นั้น ตัวมัลแวร์จะตรวจสอบข้อมูลบน Clipboard ทุกครึ่งวินาที เพื่อหาข้อมูลดังต่อไปนี้ เพื่อทำการขโมย หรือสับเปลี่ยนข้อมูล
รหัสกู้กระเป๋าเงิน (Seed Phrases) มาตรฐาน BIP39 แบบ 12 คำ
รหัสกู้กระเป๋าเงิน (Seed Phrases) มาตรฐาน BIP39 แบบ 24 คำ
กุญแจส่วนตัว (Private Keys) ของเหรียญ Ethereum
กุญแจ WIF keys ของเหรียญ Bitcoin
ที่อยู่กระเป๋าเงิน (Wallet) Bitcoin แบบ legacy, P2SH, Bech32, และ Taproot
ที่อยู่กระเป๋าเงิน Tron
ที่อยู่กระเป๋าเงิน Monero
นอกจากการขโมย (ในกรณีกุญแจ) หรือสับเปลี่ยนข้อมูล (ในกรณีข้อมูลที่อยู่กระเป๋าเงิน) ข้างต้นแล้ว ตัวมัลแวร์ยังมีการแอบบันทึกหน้าจอ (Screenshot) 5 รูปต่อ 10 วินาที แล้วจัดการแอบส่งข้อมูล (Exfiltration) ไปให้แฮกเกอร์บนเซิร์ฟเวอร์ C2 ผ่านทางเครื่องมือ Curl นอกจากนั้นทางทีมวิจัยยังพบว่า มัลแวร์ตัวดังกล่าวนั้นยังมีความสามารถในการรันโค้ดจากระยะไกล (RCE หรือ Remote Code Execution) ด้วยการดาวน์โหลดสคริปท์ JavaScript จากเซิร์ฟเวอร์ C2 ลงมาบนไฟล์ชื่อ cfile แล้วรันบนเครื่องของเหยื่อ หลังจากได้รับคำสั่ง (Instruction) EVAL จากทางเซิร์ฟเวอร์
เขียนโดย Annonymus TN
เปิดรหัสลับเลขเด็ด: วิเคราะห์แนวทางแปลปกสลาก งวดวันที่ 16 กรกฎาคม 2569
AI วิเคราะห์สถิติ 20 ปีหวยงวด 16 ก.ค.69 ให้เลขท้าย 2 ตัวเน้นๆ!
ปลาน้ำจืดพันธุ์หายากมากที่สุด ที่ยังสามารถพบได้ในประเทศไทย
AI วิเคราะห์เลขท้าย 3 ตัวรางวัลที่ 1 งวดวันที่ 16 กรกฎาคม 2569
สาวดวงซวย ว่ายน้ำอยู่ดีๆโดนจระเข้กัดกิน ต่อหน้าแฟนหนุ่ม
3 จังหวัดที่ถูกพูดถึงว่ามีคนถูกรางวัลที่ 1 บ่อยที่สุด
5 สัตว์ป่าไทยหายาก ที่อาจหายไปจากธรรมชาติหากไม่ช่วยกันปกป้อง
5 ขนมหวานกัมพูชา มีอะไรที่หน้าตาคล้ายขนมไทยบ้าง
จังหวัดอันดับหนึ่งของไทย ที่โดดเด่นเรื่องนางงามมากที่สุด
รวมภาพเรียกรอยยิ้มประจำวันนี้ 07/07/69 วันที่อากาศดีๆ เมฆครึ้มๆนิดหน่อยจ้า
“เหงื่อสีเลือด” ของฮิปโป แท้จริงคืออะไร?
เปิด 3 ประเทศยอดฮิตที่เด็ก สปป.ลาว นิยมไปเรียนต่อต่างประเทศ
เขตของกรุงเทพมหานคร ที่มีสภาพเป็นพื้นที่ชนบทมากที่สุด
ย่างเนื้อยังไงให้นุ่ม ฉ่ำ น่ากินสุดๆ
ระบบจดจำใบหน้าของ META Smart Glasses อาจนำสู่ปัญหาความเป็นส่วนตัว
ประชุมด่วน...ลดได้แค่นี้เองเหรอ? น้ำมันลดลิตรละ 2.5 บาท หลายคนบอก "ยังไม่ทันโล่งก็หมดแล้ว"
6 ผลไม้และผักที่ถูกลืม...
จะลดจริงใช่ไหม? รมว.พลังงานเรียกประชุมด่วนเย็นนี้ ลุยลดราคาน้ำมันทันที หลังต้นทุนน้ำมันดิบโลกลดลง