“กลุ่มอาชญากรส่วนใหญ่จะเลือกทำแค่แนวทางเดียว… แต่ ‘GreedyBear’ บอกว่า ‘ทำไมไม่ทำทั้งสามอย่างล่ะ?’ และมันก็ได้ผลอย่างน่าทึ่ง” นี่คือคำกล่าวที่น่าตกตะลึงจากนักวิจัยด้านความปลอดภัยที่ได้ออกมาเปิดโปงถึงปฏิบัติการของกลุ่มอาชญากรไซเบอร์สายพันธุ์ใหม่ที่ชื่อว่า “GreedyBear” ซึ่งได้ยกระดับการโจรกรรมคริปโตไปสู่ “ระดับอุตสาหกรรม” ด้วยการใช้กลโกงที่แตกต่างกันถึง 3 รูปแบบพร้อมกัน
ในรายงานที่เผยแพร่เมื่อวันพฤหัสบดีที่ผ่านมา บริษัทรักษาความปลอดภัย Koi Security ระบุว่ากลุ่ม GreedyBear ได้สร้างเครื่องมือที่เป็นอันตรายกว่า 650 รายการ และสามารถขโมยเงินคริปโตไปได้แล้วมากกว่า 1 ล้านดอลลาร์สหรัฐ โดยสิ่งที่ทำให้พวกเขาแตกต่างและน่ากลัวกว่ากลุ่มอื่นคือการผสมผสาน 3 กลยุทธ์เข้าไว้ด้วยกันอย่างเป็นระบบ
1. ส่วนขยายเบราว์เซอร์ปลอมกว่า 150 รายการ กลยุทธ์แรกคือการสร้างส่วนขยายเบราว์เซอร์ (Browser Extensions) ปลอมขึ้นมามากกว่า 150 รายการบน Firefox Marketplace โดยจะปลอมแปลงเป็นวอลเล็ตยอดนิยมอย่าง MetaMask, TronLink และ Exodus เทคนิคที่แยบยลคือ ในตอนแรกส่วนขยายเหล่านี้จะดูเหมือนเป็นของจริงทุกประการเพื่อหลีกเลี่ยงการตรวจสอบของ Marketplace แต่หลังจากที่ผู้ใช้งานติดตั้งและให้ความไว้วางใจแล้ว มันก็จะถูก “สลับไส้” ให้กลายเป็นเครื่องมือขโมยข้อมูลประจำตัวในภายหลัง
2. กองทัพมัลแวร์เกือบ 500 รูปแบบ แขนขาที่สองของปฏิบัติการนี้คือการปล่อยมัลแวร์ที่พุ่งเป้ามาที่คริปโตโดยเฉพาะ ซึ่ง Koi Security ตรวจพบตัวอย่างได้เกือบ 500 รายการ โดยมีตั้งแต่โปรแกรมขโมยข้อมูล (Credential Stealers) อย่าง LummaStealer ไปจนถึงแรนซัมแวร์ที่ออกแบบมาเพื่อเรียกค่าไถ่เป็นคริปโตโดยเฉพาะ ซึ่งมัลแวร์ส่วนใหญ่มักจะถูกเผยแพร่ผ่านเว็บไซต์ภาษารัสเซียที่ให้บริการซอฟต์แวร์เถื่อน
3. เครือข่ายเว็บไซต์หลอกลวง กลยุทธ์สุดท้ายคือการสร้างเครือข่ายเว็บไซต์ปลอมที่แอบอ้างเป็นผลิตภัณฑ์และบริการที่เกี่ยวกับคริปโต “นี่ไม่ใช่หน้าฟิชชิ่งที่เลียนแบบหน้าล็อกอินธรรมดา แต่เป็นหน้าเว็บที่ดูดีและนำเสนอผลิตภัณฑ์ปลอมๆ เช่น วอลเล็ตดิจิทัล หรือบริการซ่อมแซมวอลเล็ต” นักวิจัยกล่าว
ปฏิบัติการทั้งหมดนี้ถูกควบคุมจากเซิร์ฟเวอร์กลางเพียงแห่งเดียว และที่น่ากังวลยิ่งกว่านั้นคือแคมเปญนี้ยังแสดงให้เห็นถึงร่องรอยของการใช้ “โค้ดที่สร้างโดย AI” ซึ่งช่วยให้สามารถขยายขนาดและสร้างการโจมตีรูปแบบใหม่ๆ ได้อย่างรวดเร็ว “นี่ไม่ใช่เทรนด์ที่ผ่านมาแล้วก็ผ่านไป แต่มันคือ ‘ความปกติใหม่’ (new normal)” นักวิจัยเตือน การโจมตีที่ซับซ้อนและหลากหลายนี้จึงเป็นสัญญาณที่ชัดเจนว่า ผู้ใช้งานคริปโตจำเป็นต้องเพิ่มความระมัดระวังขึ้นไปอีกระดับ เพื่อรับมือกับอาชญากรไซเบอร์ที่กำลังฉลาดและอันตรายขึ้นทุกวัน
ที่มา: cointelegraph