<?php wp_title('|', true, 'right'); ?>

เตือนนักเทรด Bitcoin: มัลแวร์ตัวใหม่กำลังระบาด เสี่ยงต่อการถูกขโมยเหรียญได้หากไม่ระวัง

ติดตามสยามบล็อกเชนบนSiam Blockchain

ผู้ใช้งานทวิตเตอร์รายหนึ่งที่เป็นนักวิจัยด้านมัลแวร์ที่ใช้นามแฝงว่า Funik0_ ได้ค้นพบเว็บไซต์ตัวหนึ่งที่เป็นแหล่งแพร่ตัวมัลแวร์ด้านคริปโต อ้างอิงจากรายงานของ Bleeping Computer เมื่อวันที่ 5 มิถุนายนที่ผ่านมา

โดยอ้างอิงจากรายงานนั้น เว็บไซต์ดังกล่าวจะทำตัวเป็นจุดศูนย์กลางในการแพร่มัลแวร์ โดยเลียนหน้าตาและโดเมนที่คล้ายกับเว็บไซต์ที่เรียกว่า Cryptohopper ซึ่งเป็นเว็บให้บริการด้านบ็อทเทรดคริปโตแบบที่สามารถตั้งค่าการใช้งานได้

เว็บ cryptohopper ที่แท้จริง

เมื่อเหยื่อเข้าไปในเว็บฉ้อโกงดังกล่าว มันจะทำการดาวน์โหลดไฟล์ติดตั้งที่ชื่อว่า setup.exe ลงมาบนเครื่อง ซึ่งหากกดติดตั้งไปแล้ว เครื่องคอมพิวเตอร์ของเหยื่อก็จะติดกับมัลแวร์ตัวดังกล่าวทันที โดยตัวติดตั้งดังกล่าวนั้นยังได้ปลอมหน้าตาตัวติดตั้งแบบเหมือนจริงอีกด้วย เพราะมีการใส่โลโก้ของ Crytohopper ลงไปเพื่อพยายามหลอกเหยื่อให้เชื่อ

เมื่อมีการรันตัวติดตั้งแล้ว ก็จะมีการติดตั้งไวรัสโทรจันที่ชื่อว่า Vidar เพื่อทำการขโมยข้อมูลจากเหยื่อ จากนั้นก็จะติดตั้งตัวโทรจันอีกสองตัวซึ่งก็คือ Qulab สำหรับแอบนำเอาเครื่องของเหยื่อไปใช้ขุดคริปโต และดัดแปลง clipboard (ข้อมูลเวลาผู้ใช้งานกด Ctrl+c โดยเมื่อผู้ใช้งานต้องการคัดลอก address Bitcoin ของตัวเอง เจ้าโทรจันตัวนี้จะแทนที่ address ของเหยื่อด้วย address ของมิจฉาชีพแทน) โดยเจ้าไวรัสเหล่านี้จะทำงานในทุก ๆ นาทีเพื่อขโมยข้อมูลอย่างต่อเนื่อง

ไวรัสโทรจัน Vidar นั้นจะพยายามขโมยข้อมูลผู้ใช้งานอย่างเช่น cookies, ประวัติการใช้งานเว็บไซต์, ข้อมูลการจ่ายเงินบนเว็บไซต์, ข้อมูลการล็อกอินบนเว็บต่าง ๆ, และรวมถึง wallet เก็บคริปโตอีกด้วย ซึ่งภายหลังมันจะทำการ compile ข้อมูลเหล่านั้น และส่งกลับไปยังเซิฟเวอร์ต้นทางหลังจากที่ไฟล์ compile ถูกลบไปแล้ว

ซึ่งมิจฉาชีพดังกล่าวนั้นจะมี address สำหรับขโมยเหรียญของเหยื่อซึ่งประกอบไปด้วย ether (ETH), bitcoin (BTC), bitcoin cash (BCH), dogecoin (DOGE), dash (DASH), litecoin (LTC), zcash (ZEC), bitcoin gold (BTG), xrp, และ qtum

มีรายงานว่ากระเป๋า wallet ตัวหนึ่งนั้นมีส่วนเกี่ยวข้องกับมิจฉาชีพดังกล่าว โดยมันได้รับไปแล้วถึง 33 BTC หรือประมาณ 8,109,135 บาท โดย address ของมันคือ 1FFRitFm5rP5oY5aeTeDikpQiWRz278L45 แต่อย่างไรก็ตาม จำนวนทั้งหมดนี้อาจไม่ได้มาจากการโจรกรรมจากเหยื่อก็ได้

กดคลิกเพื่อแสดงความเห็น